Троянский вирус атаковал более 20 тыс. российских сайтов
Массовый взлом российских сайтов обнаружили специалисты антивирусной компании Dr. Web. На компьютеры пользователей под видом драйверов загружалось вредоносное программное обеспечение, в том числе и известный вирус «троянец».
«Сотрудниками антивирусной лаборатории обнаружен ряд веб-сайтов, на которых был отдельный подсайт, никак не связанный с основной тематикой этих интернет-ресурсов. 31 августа 2011 года были выявлены 21 тыс. адресов веб-сайтов, распространяющих вредоносную программу. Имеются все основания предполагать, что владельцы или администраторы этих ресурсов стали жертвами хищения паролей от FTP-клиентов, для чего злоумышленники могли воспользоваться многочисленными троянскими программами», – сообщается на сайте компании.
Специалисты Dr. Web отметили, что эти подсайты имеют почти идентичное оформление, отличие между ними только в незначительных деталях. Все они предлагают пользователям загрузить драйверы различных устройств. Кроме того, ссылки с некоторых взломанных сайтов ведут на поддельные службы файлового обмена. «Ссылка на файл драйвера перенаправляет пользователя на промежуточный сайт, например ipurl.ru (сайт биржи трафика), а уже оттуда на другой ресурс, с которого под видом драйвера загружается троянская программа Trojan.Mayachok.1», – подчеркнули сотрудники лаборатории.
Среди десятков тысяч взломанных ресурсов оказались серверы общества «Православная семья», сайт российской организации буддистов, сервер Алтайского краевого объединения профсоюзов, а также многочисленные сайты различных коммерческих и некоммерческих организаций. Получить список взломанных сайтов можно с использованием, например, поискового запроса samsung syncmaster.
В компании отметили, что вредоносная программа-«троянец» блокирует нормальную работу браузеров на инфицируемом компьютере. Согласно данным Dr. Web, в начале июля 2011 года атаке этой троянской программы подверглись пользователи интернет-провайдера «Ростелеком», а в августе этот вирус стал одной из самых распространенных угроз.
«Во всех случаях при попытке открыть в браузере какой-либо сайт «троянец» перенаправляет пользователя на заранее определенный URL, демонстрируя в окне браузера веб-страницу, предлагающую «активировать» или «подтвердить» аккаунт, указав свой номер телефона и ответив на входящее SMS», – отметили в антивирусной компании.
В Dr. Web заметили, что среди блокируемых вирусом сайтов замечены youtube.com, vkontakte.ru, odnoklassniki.ru, rostelecom.ru, support.akado.ru, my.mail.ru. Запустившись на инфицированном компьютере, «троянец» создает в каталоге system32 библиотеку с именем, сгенерированным на основе серийного номера текущего раздела жесткого диска, затем копирует себя во временный каталог под именем flash_player_update.exe и начинает запускать этот файл с периодичностью в 10 секунд.
Затем «троянец» вносит изменения в системный реестр Windows и перезагружает компьютер. После этого «троянец» сохраняет в каталог C:Documents and SettingsAll UsersApplication Datacf собственный конфигурационный файл, содержащий перечень блокируемых сайтов, адреса управляющих серверов и скрипты, которые встраиваются в запрашиваемые пользователем веб-страницы.