В пятницу "Лаборатория Касперского" предупредила интернет-пользователей, что
хакеры предприняли успешную попытку массового заражения веб-сервисов, в
результате которой на 10 000 серверов были размещены опасные ссылки, без
согласия пользователей перенаправляющие их на сервер с вредоносным ПО,
расположенный по адресу vvexe.com и находящийся в Китае. Данный сайт загружает
на машины жертв опасные программы. Упоминание об этом ресурсе также можно найти
на сайтах Norton Safe Web и StopBadWare.org.

Впрочем, если у тебя установлены все необходимые патчи и самые свежие версии
антивирусных баз, от перехода на этот сайт, ты, возможно, уже застрахован. Тем
не менее пока непонятно, каким образом удалось взломать все эти сайты, и почему
"Лаборатории Касперского" не удалось обнаружить эту проблему сразу же. Ранее в
этом году подобная атака уже затронула около 1,5 миллионов серверов, так что
последний случай выглядит достаточно скромно, однако в Kaspersky Labs
предостерегают, что атака только началась.

При проведении атаки в html-код взломанного сервера добавляется ссылка,
которая запускает Java Script, расположенный на одном из шести серверов. Эти
серверы используются в качестве шлюзов для дальнейшего перенаправления запросов.
Вот их адреса:

  • armsart.com
  • acglgoa.com
  • idea21.org
  • yrwap.cn
  • s4d.in
  • dbios.org

Далее запросы несанкционированно перенаправляются на сайт vvexe.com,
расположенный в Китае и содержащий целый набор эксплоитов, которые атакуют
компьютер. Если твоя машина окажется уязвимой хотя бы к одному из них, на нее
установится Trojan-Downloader.Win32.Hah.a.

Этот троян загрузит другие программы, находящиеся на сайте. На данный момент
таких программ обнаружено три:

  • Trojan-GameThief.Win32.WOW.cer – троян, крадущий данные о лицевых счетах
    в игре World of Warcraft
  • Trojan-Spy.Win32.Pophot.gen – еще один шпион, ворующий данные, и
    удаляющий все антивирусы
  • Trojan.Win32.Agent.alzv – этот троян загружает еще три трояна:
    Trojan-PSW.Win32.Delf.ctw, Trojan-PSW.Win32.Delf.ctx и
    Trojan-PSW.Win32.Delf.cty.

Как уже сказано выше, способ заражения сайтов пока неизвестен, однако можно
предположить, что это либо SQL-инъекция, либо использование ранее украденных
лицевых счетов с этих сайтов. Также стоит отметить, что большинство зараженных
ресурсов использовали похожие версии движков ASP.



Оставить мнение