Массовый взлом сайтов обнаружили специалисты антивирусной компании Dr. Web. На компьютеры пользователей под видом драйверов загружалось вредоносное программное обеспечение, в том числе и известный вирус «троянец».
У нас есть некоторые сомнения в правильности методики оценки с использованием запроса к поисковой системе
«Сотрудниками антивирусной лаборатории обнаружен ряд веб-сайтов, на которых был отдельный подсайт, никак не связанный с основной тематикой этих интернет-ресурсов. 31 августа 2011 года были выявлены 21 тыс. адресов веб-сайтов, распространяющих вредоносную программу. Имеются все основания предполагать, что владельцы или администраторы этих ресурсов стали жертвами хищения паролей от FTP-клиентов, для чего злоумышленники могли воспользоваться многочисленными троянскими программами», – сообщается на сайте компании.
Специалисты Dr. Web отметили, что эти подсайты имеют почти идентичное оформление, отличие между ними только в незначительных деталях. Все они предлагают пользователям загрузить драйверы различных устройств. Кроме того, ссылки с некоторых взломанных сайтов ведут на поддельные службы файлового обмена. «Ссылка на файл драйвера перенаправляет пользователя на промежуточный сайт, например ipurl.ru (сайт биржи трафика), а уже оттуда на другой ресурс, с которого под видом драйвера загружается троянская программа Trojan.Mayachok.1», – подчеркнули сотрудники лаборатории.
Среди десятков тысяч взломанных ресурсов оказались серверы общества «Православная семья», сайт российской организации буддистов, сервер Алтайского краевого объединения профсоюзов, а также многочисленные сайты различных коммерческих и некоммерческих организаций. Получить список взломанных сайтов можно с использованием, например, поискового запроса samsung syncmaster.
В компании отметили, что вредоносная программа-«троянец» блокирует нормальную работу браузеров на инфицируемом компьютере. Согласно данным Dr. Web, в начале июля 2011 года атаке этой троянской программы подверглись пользователи интернет-провайдера «Ростелеком», а в августе этот вирус стал одной из самых распространенных угроз.
«Во всех случаях при попытке открыть в браузере какой-либо сайт «троянец» перенаправляет пользователя на заранее определенный URL, демонстрируя в окне браузера веб-страницу, предлагающую «активировать» или «подтвердить» аккаунт, указав свой номер телефона и ответив на входящее SMS», – отметили в антивирусной компании.
В Dr. Web заметили, что среди блокируемых вирусом сайтов замечены youtube.com, vkontakte.ru, odnoklassniki.ru, rostelecom.ru, support.akado.ru, my.mail.ru. Запустившись на инфицированном компьютере, «троянец» создает в каталоге system32 библиотеку с именем, сгенерированным на основе серийного номера текущего раздела жесткого диска, затем копирует себя во временный каталог под именем flash_player_update.exe и начинает запускать этот файл с периодичностью в 10 секунд.
Затем «троянец» вносит изменения в системный реестр Windows и перезагружает компьютер. После этого «троянец» сохраняет в каталог C:\Documents and Settings\All Users\Application Data\cf собственный конфигурационный файл, содержащий перечень блокируемых сайтов, адреса управляющих серверов и скрипты, которые встраиваются в запрашиваемые пользователем веб-страницы.
В то же время специалисты «Лаборатории Касперского» газете ВЗГЛЯД не подтвердили массовый взлом сайтов, выразив при этом сомнение в правильности использования метода оценки. «Мы не можем подтвердить информацию о взломе «троянцем» 21 тыс. сайтов. Кроме того, у нас есть некоторые сомнения в правильности методики оценки с использованием запроса к поисковой системе», – сказал главный антивирусный эксперт компании Александр Гостев.
В то же время сотрудник лаборатории отметил, что за последнюю неделю при помощи системы Kaspersky Security Network было зафиксировано около 7 тыс. инцидентов. При этом пик атак пришелся на 28 августа, когда попыткам заражения подверглись более 1500 пользователей в России и Украине.
«Чтобы не оказаться в числе пострадавших от вирусов, для обеспечения надежной защиты компьютера от заражений вредоносными программами через Интернет, пользователям стоит использовать антивирусные решения класса Internet Security», – посоветовал Александр Гостев.
Троянская вредоносная программа загружается в компьютерные системы непосредственно злоумышленниками-инсайдерами или побуждает пользователей загружать или запускать ее на своих системах. Для достижения последнего троянские программы помещаются злоумышленниками на открытые или индексируемые ресурсы (файл-серверы и системы файлообмена), носители информации, присылаются с помощью служб обмена сообщениями (электронной почтой), попадают на компьютер через бреши безопасности или загружаются самим пользователем с адресов, полученных одним из перечисленных способов. Иногда использование «троянцев» является лишь частью спланированной многоступенчатой атаки на определенные компьютеры, сети или ресурсы.