В Рунете зафиксирована массовая атака известным компьютерным вирусом. Среди пострадавших более 20 тыс. российских сайтов, с которых вредоносная программа перешла к пользователям. В компании Dr. Web считают, что ЧП случилось из-за кражи паролей FTP-клиентов. Эксперты «Лаборатории Касперского» массовый взлом опровергли. Массовый взлом сайтов обнаружили специалисты антивирусной компании
Dr.
Web. На компьютеры пользователей под видом драйверов загружалось вредоносное программное обеспечение, в том числе и известный вирус «троянец».
«Сотрудниками антивирусной лаборатории обнаружен ряд веб-сайтов, на которых был отдельный подсайт, никак не связанный с основной тематикой этих интернет-ресурсов. 31 августа 2011 года было выявлено 21 тыс. адресов веб-сайтов, распространяющих вредоносную программу. Имеются все основания предполагать, что владельцы или администраторы этих ресурсов стали жертвами хищения паролей от FTP-клиентов, для чего злоумышленники могли воспользоваться многочисленными троянскими программами», - сообщается на
сайте компании.
Специалисты
Dr.
Web отметили, что эти подсайты имеют почти идентичное оформление, отличие между ними только в незначительных деталях. Все они предлагают пользователям загрузить драйверы различных устройств. Кроме того, ссылки с некоторых взломанных сайтов ведут на поддельные службы файлового обмена. «Ссылка на файл драйвера перенаправляет пользователя на промежуточный сайт, например ipurl.ru (сайт биржи трафика), а уже оттуда на другой ресурс, с которого под видом драйвера загружается троянская программа
Trojan.Mayachok.1», - подчеркнули сотрудники лаборатории.
Среди десятков тысяч взломанных ресурсов оказались серверы общества «Православная семья», сайт российской организации буддистов, сервер «Алтайского краевого объединения профсоюзов», а также многочисленные сайты различных коммерческих и некоммерческих организаций. Получить список взломанных сайтов можно с использованием, например, поискового запроса
samsung syncmaster.
В компании отметили, что вредоносная программа-троянец блокирует нормальную работу браузеров на инфицируемом компьютере. Согласно данным
Dr.
Web, в начале июля 2011 года атаке этой троянской программы подверглись пользователи интернет-провайдера Ростелеком, а в августе этот вирус стал одной из самых распространенных угроз.
«Во всех случаях при попытке открыть в браузере какой-либо сайт троянец перенаправляет пользователя на заранее определенный URL, демонстрируя в окне браузера веб-страницу, предлагающую «активировать» или «подтвердить» аккаунт, указав свой номер телефона и ответив на входящее
sms», - отметили в антивирусной компании.
В
Dr.
Web заметили, что среди блокируемых вирусом сайтов замечены youtube.com, vkontakte.ru, odnoklassniki.ru, rostelecom.ru, support.akado.ru, my.mail.ru. Запустившись на инфицированном компьютере, троянец создает в каталоге system32 библиотеку с именем, сгенерированным на основе серийного номера текущего раздела жесткого диска, затем копирует себя во временный каталог под именем flash_player_update.exe и начинает запускать этот файл с периодичностью в 10 секунд.
Затем троянец вносит изменения в системный реестр Windows и перезагружает компьютер. После этого Троян сохраняет в каталог C:\Documents and Settings\All Users\Application Data\cf собственный конфигурационный файл, содержащий перечень блокируемых сайтов, адреса управляющих серверов и скрипты, которые встраиваются в запрашиваемые пользователем веб-страницы.
В тоже время специалисты «Лаборатории Касперского» газете ВЗГЛЯД не подтвердили массовый взлом сайтов, выразив при этом сомнение в правильности использования метода оценки. «Мы не можем подтвердить информацию о взломе троянцем 21 тыс. сайтов. Кроме того, у нас есть некоторые сомнения в правильности методики оценки с использованием запроса к поисковой системе», – сказал главный антивирусный эксперт компании Александр Гостев.
В то же время сотрудник лаборатории отметил, что за последнюю неделю при помощи системы Kaspersky Security Network было зафиксировано около 7 тыс. инцидентов. При этом пик атак пришелся на 28 августа, когда попыткам заражения подверглось более 1500 пользователей в России и Украине.
«Чтобы не оказаться в числе пострадавших от вирусов, для обеспечения надежной защиты компьютера от заражений вредоносными программами через Интернет, пользователям стоит использовать антивирусные решение класса Internet Security», - посоветовал Александр Гостев.
Троянская вредоносная программа загружается в компьютерные системы как непосредственно злоумышленниками-инсайдерами, так и побуждают пользователей загружать или запускать их на своих системах. Для достижения последнего, троянские программы помещаются злоумышленниками на открытые или индексируемые ресурсы (файл-серверы и системы файлообмена), носители информации, присылаются с помощью служб обмена сообщениями (электронной почтой), попадают на компьютер через бреши безопасности или загружаются самим пользователем с адресов полученных одним из перечисленных способов. Иногда использование троянцев является лишь частью спланированной многоступенчатой атаки на определенные компьютеры, сети или ресурсы.