Злоумышленники взломали 21 000 сайтов в Рунете для распространения Trojan.Mayachok

Тема в разделе "Новости информационной безопасности", создана пользователем Severnyj, 31 авг 2011.

  1. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Специалисты компании «Доктор Веб» — ведущего российского разработчика средств информационной безопасности — обнаружили массовый взлом веб-сайтов (более 21 000 на 31 августа 2011 года), с которых на компьютеры пользователей под видом драйверов загружается вредоносное ПО, в том числе печально известный троянец Trojan.Mayachok.1. Мы призываем пользователей проявлять внимательность, а владельцев веб-сайтов в Рунете — проверить свои интернет-ресурсы на предмет наличия посторонних каталогов и файлов.

    Сотрудниками антивирусной лаборатории компании «Доктор Веб» был обнаружен ряд веб-сайтов, имеющих в своей структуре отдельный подсайт, никак не связанный с основной тематикой данных интернет-ресурсов. Оформление этих «встроенных» страниц идентично и отличается лишь незначительными деталями. Все они предлагают пользователям загрузить драйверы различных устройств. Ссылка на файл драйвера перенаправляет пользователя на промежуточный сайт, например ipurl.ru (сайт биржи трафика), а уже оттуда на другой ресурс, с которого под видом драйвера загружается троянская программа Trojan.Mayachok.1. Кроме того, ссылки с некоторых взломанных сайтов ведут на поддельные службы файлового обмена. По состоянию на 12.00 31 августа 2011 года было выявлено более 21 000 адресов веб-сайтов, распространяющих это вредоносное ПО. Имеются все основания предполагать, что владельцы или администраторы этих ресурсов стали жертвами хищения паролей от FTP-клиентов, для чего злоумышленники могли воспользоваться многочисленными троянскими программами.

    Среди десятков тысяч взломанных ресурсов можно отметить серверы общества «Православная семья», сайт российской организации буддистов, сервер «Алтайского краевого объединения профсоюзов», а также многочисленные сайты различных коммерческих и некоммерческих организаций. Получить список взломанных сайтов можно с использованием, например, поискового запроса файл samsung syncmaster драйвер упакован в архив.

    [​IMG]

    [​IMG]

    Напоминаем, что вредоносная программа Trojan.Mayachok.1, о которой мы уже неоднократно писали в наших новостях и обзорах, блокирует нормальную работу браузеров на инфицируемом компьютере. В начале июля 2011 года атаке этой троянской программы подверглись пользователи интернет-провайдера «Ростелеком», а в августе Trojan.Mayachok.1 стал, согласно данным статистики, одной из самых распространенных угроз.

    [​IMG]

    Во всех случаях при попытке открыть в браузере какой-либо сайт Trojan.Mayachok.1 перенаправляет пользователя на заранее определенный URL, демонстрируя в окне браузера веб-страницу, предлагающую «активировать» или «подтвердить» аккаунт, указав свой номер телефона и ответив на входящее СМС-сообщение. Среди блокируемых троянцем сайтов замечены youtube.com, vkontakte.ru, odnoklassniki.ru, rostelecom.ru, support.akado.ru, my.mail.ru. Запустившись на инфицированном компьютере, троянец создает в каталоге system32 библиотеку с именем, сгенерированным на основе серийного номера текущего раздела жесткого диска, затем копирует себя во временный каталог под именем flash_player_update.exe и начинает запускать этот файл с периодичностью в 10 секунд. Затем троянец вносит изменения в системный реестр Windows и перезагружает компьютер. После этого Trojan.Mayachok.1 сохраняет в каталог
    C:\Documents and Settings\All Users\Application Data\cf собственный конфигурационный файл, содержащий перечень блокируемых сайтов, адреса управляющих серверов и скрипты, которые встраиваются в запрашиваемые пользователем веб-страницы.

    Поскольку взлому подверглись тысячи интернет-ресурсов в Рунете, можно смело говорить о том, что угроза весьма серьезная: имеет место массовая компрометация администраторских учетных записей. Компания «Доктор Веб» призывает владельцев и администраторов веб-сайтов проверить структуру своих интернет-ресурсов на предмет наличия посторонних каталогов и файлов, а также использовать современное антивирусное ПО с целью избежать кражи паролей от FTP-клиентов. Пользователям мы советуем загружать драйверы только с официальных сайтов разработчиков соответствующего оборудования.

    Источник
     
    2 пользователям это понравилось.
  2. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Говорить об «эпидемии» атак на сайты в Рунете пока рано

    Количество взломов интернет-сайтов в Рунете пока не так велико, чтобы говорить об «эпидемии», считают эксперты в области компьютерной безопасности. Они не согласились с информацией, распространенной накануне разработчиком антивирусов «Доктор Веб», согласно которой в российском сегменте интернета наблюдается массовый взлом сайтов и от действий злоумышленников пострадали уже свыше 20 тыс сайтов.

    «Подтвердить факт взлома 21 тыс сайтов в связи с вредоносной программой «Trojan.Mayachok.1» в настоящий момент мы не можем, - сказал ИТАР-ТАСС главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев. - Кроме того, у нас есть серьезные сомнения в адекватности использованной специалистами «Доктор Веб» методики оценки с использованием запроса к поисковой системе». По словам Гостева, за последнюю неделю «Лаборатория Касперского» зафиксировала всего около 7 тыс. инцидентов, связанных с этой троянской программой. При этом пик атак пришелся на 28 августа, когда попыткам заражения подверглось более 1500 пользователей в России и Украине.

    По словам директора Центра вирусных исследований и аналитики компании ESET Александра Матросова, этот «троянец» распространен по большей части на территории РФ и других стран СНГ, а пик его активности приходился на вторую половину лета. «Нам также встречались случаи распространения этого «троянца» через перенаправление со взломанных легальных ресурсов, - отметил он в беседе с корр. ТАСС. - Но говорить об эпидемии или массовом распространении данной угрозы еще очень рано». Успех работы злоумышленников заключался в недостаточной защищенности интернет-ресурсов, считает эксперт.

    Как сообщили в компании «Доктор Веб», на зараженных сайтах пользователям предлагается загрузить драйверы различных устройств, ссылка на которые перенаправляет пользователя на промежуточный сайт, а уже оттуда на другой ресурс. С него под видом драйвера загружается вирусная программа «Trojan.Mayachok.1». Кроме того, ссылки с некоторых взломанных сайтов ведут на поддельные службы файлового обмена, утверждают в компании.

    Источник

    И в продолжение:

    "Лаборатория Касперского" ужесточит правила блокирования SMS-партнерок

    В свете очередного инцидента с массовым взломом веб-сайтов в Рунете и распространением вредоносных программ через партнерские ресурсы, "Лаборатория Касперского" приняла решение ужесточить в своих антивирусных продуктах правила блокирования доступа к SMS-сервисам, перенаправляющим интернет-пользователей на сомнительные ресурсы.

    "Под блокировку всеми доступными нам методами, включая проактивные облачные технологии, попадут все TDS-сети (Traffic Distribution System), скрипты, IP-адреса сайтов с подозрительным контентом, DNS-записи и хостеры, замешанные в любом из видов SMS-мошенничества в Рунете, будь то диеты или блокеры", - говорится в опубликованном компанией информационном сообщении.

    [​IMG]

    Эксперт "Лаборатории Касперского" Александр Гостев убежден, что такие суровые контрмеры помогут сделать Рунет чище и свободнее от киберпреступников. "Ведь именно криминал и мошенничество отпугивают большую часть людей от использования онлайновых ресурсов в полной мере. Именно они отталкивают аудиторию от совершения покупок в Сети и сдерживают развитие интернет-технологий в России", - резюмирует представитель антивирусной компании.

    Напомним, массированная хакерская атака, затронувшая тысячи сайтов в российском сегменте Сети, была зафиксирована специалистами компании "Доктор Веб" несколько дней назад. Предварительное расследование инцидента показало, что взломанные площадки использовались злоумышленниками для распространения зловреда Trojan.Mayachok.1 под видом драйверов для различных устройств. По состоянию на 12 часов дня 31 августа 2011 года было выявлено более 21 тысяч адресов веб-сайтов, распространяющих упомянутое вредоносное ПО. Эксперты предполагают, что владельцы этих ресурсов стали жертвами хищения паролей от FTP-клиентов, для чего киберпреступники могли воспользоваться многочисленными троянскими программами.

    Источник
     
    Последнее редактирование: 3 сен 2011
    3 пользователям это понравилось.

Поделиться этой страницей