4000 сайтов скомпрометированы «принтерным вирусом»
18-10-2011
Файл .
htaccess содержит конфигурационные данные веб-сервера, используемые веб-администратором для управления сетевым трафиком. Например, для запрещения доступа к определенным страницам, перенаправления запросов мобильных устройств на специальные сайты и так далее. Для мониторинга сетевого трафика с легитимными сайтами злоумышленники (и некоторые готовые наборы вредоносного ПО) используют уязвимость веб-серверов для модификации файла .htaccess. Когда пользователь переходит по ссылке, браузер запрашивает доступ к скомпрометированному сайту. Веб-сервер перенаправляет пользователя на вредоносный сайт, используя данные из файла .htaccess, о чем пользователь не предупреждается, так что он не имеет никакого представления о том, что произошло «за кулисами». А тем временем на инфицированном сайте может быть множество угроз, потенциально способных использовать определенные уязвимости ПК.
Система была очень аккуратно сконструирована, чтобы не допустить обнаружения инфекции внешними пользователями или исследователями. Запрос к скомпрометированному сайту перенаправляется на вредоносную страницу, только при выполнении ряда условий:
1. Это первое посещение сайта (при последующих посещениях перенаправления не происходит);
2. Веб-сайт посещается при переходе по ссылке из поисковой системы, SNS или электронной почты (перенаправления не происходит, если пользователь заходит на веб-сайт из своих закладок или просто вписывая URL в адресную строку браузера);
3. Угроза работает только на платформе Windows (на других платформах перенаправления не происходит);
4. Используется популярный веб-браузер (переадресация не предусмотрена для альтернативных браузеров и поисковых систем).
При этом атакующий может отслеживать источник трафика, вставляя в запрос переадресации оригинальную URL.
Изучение журналов позволило определить, что группировка использует технологию переадресации .htaccess как минимум с 2010 года. Атакующие меняют имена доменов как можно чаще, чтобы избежать блокировки или попадания в черный список. В 2010 и 2011 годах злоумышленники переходили на новый домен каждые несколько месяцев, а в 2012 переходы происходят почти ежедневно.
За последние несколько дней специалисты Symantec обнаружили почти 4 000 уникальных взломанных веб-сайтов, которые перенаправляют пользователей на вредоносные ресурсы. Большинство из них являются персональными страницами или сайтами средних и малых компаний, однако в перечне также присутствуют государственные, телекоммуникационные и финансовые организации, сайты которых также были скомпрометированы. Большая их часть приходится на домен .com, за которым следуют .org и .net. Из более чем 90 стран, попавших в этот список, на Европу и Латинскую Америку приходится наибольшая часть взломанных сайтов, что соответствует распространению вируса Trojan.Milicenso.
По материалам официального пресс-релиза.
