Новые подробности о работе «принтерного» вируса: скомпрометировано уже 4 тыс. веб-сайтов
Корпорация Symantec обнародовала новые подробности об угрозе Trojan.Milicenso, которая стала известна благодаря своему побочному действию: отправке заданий на печать — принтеры распечатывали случайные наборы символов до тех пор, пока в них не заканчивалась бумага. В рамках дополнительного исследования специалистам Symantec удалось установить, что вредоносное ПО загружается при помощи веб-атаки перенаправления .htaccess, и как минимум 4 тыс. веб-сайтов были скомпрометированы группировкой, ответственной за данную угрозу.
Файл .htaccess содержит конфигурационные данные веб-сервера, используемые веб-администратором для управления сетевым трафиком. Например, для запрета доступа к определенным страницам, перенаправления запросов мобильных устройств на специальные сайты и так далее. Для мониторинга сетевого трафика с легитимными сайтами злоумышленники (и некоторые готовые наборы вредоносного ПО) используют уязвимость веб-серверов для модификации файла .htaccess, пояснили в Symantec.
Когда пользователь переходит по ссылке, браузер запрашивает доступ к скомпрометированному сайту. Веб-сервер перенаправляет пользователя на вредоносный сайт, используя данные из файла .htaccess. На инфицированном сайте может быть множество угроз, потенциально способных использовать определенные уязвимости ПК. О перенаправлении пользователь не предупреждается и не имеет никакого представления о том, что произошло «за кулисами», подчеркнули в компании.
Путь распространения вируса
Между тем, сам файл .htaccess модифицирован злоумышленниками с тем, чтобы не привлекать внимания сетевых администраторов — в оригинал добавлено более 800 пустых строк как в начале, так и в конце файла. Конфигурация также была очень аккуратно сконструирована, чтобы не допустить обнаружения инфекции внешними пользователями или исследователями.
Так, запрос к скомпрометированному сайту перенаправляется на вредоносную страницу только при выполнении всех следующих условий: первое посещение сайта (при последующих посещениях перенаправления не происходит); веб-сайт посещается при переходе по ссылке из поисковой системы, SNS или электронной почты (перенаправления не происходит, если пользователь заходит на веб-сайт из своих закладок или просто вписывая URL в адресную строку браузера); угроза работает только на платформе Windows (на других платформах перенаправления не происходит); используется популярный веб-браузер (переадресация не предусмотрена для альтернативных браузеров и поисковых систем). При этом атакующий может отслеживать источник трафика, вставляя в запрос переадресации оригинальную URL, говорится в сообщении Symantec.
Изучение журналов позволило определить, что группировка использует технологию переадресации .htaccess как минимум с 2010 г. Среди наиболее «свежих» вредоносных сайтов — [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].tedzstonz.com; [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].tgpottery.com; [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].yourcollegebody.com; [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].tgpottery.com; [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].beeracratic.com; [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].buymeaprostitute.com; [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].zoologistes-sansfrontiere.com; [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].watchmoviesnchat.com; [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].joincts.info и др. Атакующие меняют имена доменов как можно чаще, чтобы избежать блокировки или попадания в черный список. В 2010 и 2011 гг. злоумышленники переходили на новый домен каждые несколько месяцев, а в 2012 г. переходы происходят почти ежедневно.
Как упоминалось выше, за последние несколько дней специалисты Symantec обнаружили почти 4 тыс. уникальных взломанных веб-сайтов, которые перенаправляют пользователей на вредоносные ресурсы. Большинство из них являются персональными страницами или сайтами средних и малых компаний, однако в перечне также присутствуют государственные, телекоммуникационные и финансовые организации, сайты которых также были скомпрометированы.
Распределение взломанных сайтов по доменам верхнего уровня
На диаграмме представлено распределение скомпрометированных веб-сайтов по доменам верхнего уровня. Как обычно, большая часть приходится на домен .com, за которым следуют .org и .net. Из более чем 90 стран, попавших в этот список, на Европу и Латинскую Америку приходится наибольшая часть взломанных сайтов, что соответствует распространению вируса Trojan.Milicenso, сообщили в Symantec.
Антивирусные продукты Symantec определяют заражённые файлы .htaccess как Trojan.Malhtaccess. В компании советуют веб-администраторам удалить их и заменить последней известной безопасной резервной копией, а также установить обновления безопасности для всех используемых операционных систем и веб-приложений, включая CMS.
В дополнение к антивирусным сигнатурам, специалисты Symantec создали специальную сигнатуру IPS 25799: Web Attack: Malicious Executable Download 6, которая автоматически защищает пользователей от перенаправления на вредоносные ресурсы.