Железный сайт

Около четырех тысяч сайтов подхватили "принтерный вирус"

Специалисты из Symantec обнародовали схему действия вредоносного кода Trojan.Milicenso. Он "прославился" благодаря такому побочному эффекту, как отправка заданий на печать. При этом принтер печатал случайный набор знаков, пока не закончится бумага. Специалистам компании удалось установить, что этот троян грузится на сайт в результате веб-атаки перенаправления файла .htaccess.

Атакуемый файл .htaccess содержит данные о конфигурации веб-сервера, которые используется администраторами для управления сайтами. Так, с помощью информации в нем администратор может запретить доступ к определенным страницам сайта, перенаправить запросы с телефонов на мобильные сайты и т.п. Злоумышленники использовали уязвимость веб-серверов, касающуюся модификации файла .htaccess. Если пользователь переходит по какой-либо ссылке, то обозреватель запрашивает доступ к скомпрометированному ресурсу, а сервер направляет посетителя на опасный ресурс, используя при этом данные из .htaccess. Причем пользователь не предупреждается об этом и не в курсе того, что происходит. Ну, а на сайте, куда он перенаправляется, содержится множество опасных вирусов для проникновения в систему. В таких условиях сопровождение компьютерной сети становится непростой задачей. Поэтому лучше заказать администрирование у профессиональной команды вот тут.

Вся схема была реализована очень аккуратно и защищена от обнаружения вируса пользователями и специалистами в области безопасности. Так запросы на вредоносные сайты перенаправлялись, если это было первое посещение ресурса, пользователь приходил из поисковой системы или электронной почты. Если он проходил по закладкам или при ручном вводе адреса, то перенаправления не происходило. Кроме того, данная схема работала только в ОС Windows и на популярных обозревателях. Атакующий вставлял в запрос о переадресации оригинальный адрес URL. Как стало известно, такая незаконная переадресация .htaccess использовалась примерно с 2010 года. Злоумышленники часто меняли доменные имена, чтобы обойти блокировки и "блэк-листы". Переходы на новые домены происходят практически каждый день.

В Symantec обнаружили примерно 4000 уникальных поврежденных таким образом сайтов. Множество из них являются персональными ресурсами или визитками компаний. В этом списке имеются даже государственные сайты, а также ресурсы крупных финансовых организаций. Большинство взломанных сайтов имеют доменные имена в зонах .com, .org и .net. Если смотреть по территориальному признаку, то в списке присутствуют ресурсы из 90 стран, максимальное число которых из Европы и Латинской Америки.

Автор: Administrator
Источник: Железный сайт



• На Apple iPhone будут устанавливать отечественный софт
• Отчего защищают антивирусные программы?
• Выбор антивируса
• Выпущена новая версия системы программы StaffCop Enterprise 3.0
• Компания Леново будет поставлять серверы для Майкрософт

Понравилась новость? Поделись с друзьями!