СЕРВИСЫ
Каталог IT 
Разработка сайтов
Интернет-провайдеры

Отправить новость

Сообщите новость, интересную читателям 42.TUT.BY


реклама

Trend Micro предупреждает о серьезной интернет-угрозе


изображениеИсследовательская лаборатория TrendLabs (компания Trend Micro) сообщает о серьезной эпидемии, затронувшей тысячи популярных итальянских сайтов. Вредоносный код, находящийся на зараженных сайтах, устанавливает на компьютер пользователя программу, способную похищать пароли и превращать компьютер в сервер, предназначенный для совершения DDOS-атак.
 
Первое время вирусная эпидемия затронула лишь итальянские сайты, однако очень быстро атака распространилась по всему миру – по данным исследователей из TrendLabs, речь идет более чем о десятке тысяч зараженных сайтов. На них размещен код, направляющий посетителей на сервер с установленным набором хакерских инструментов Mpack. С помощью этих эксплойтов фиксируется информация об атакуемых компьютерах, включая IP-адреса, а также какие уязвимости можно использовать для взлома.

В течение 48 часов после начала эпидемии было взломано более 2000 итальянских сайтов. Trend Micro регистрировала удвоение числа жертв каждые 6-8 часов. Вредоносный код задействует уязвимость скриптов iFrames, которые широко используются при создании сайтов. Процесс заражения представляет собой сложную цепь:

1. URL первого уровня – зараженные или взломанные итальянские сайты. TrendLabs идентифицирует тег, который располагается на зараженных сайтах, как HTML_IFRAME.CU

2. Пользователи перенаправляются по специальному IP-адресу (HTML_IFRAME.CU) на сайт, где находится Javascript-загрузчик (JS_DLOADER.NTJ). Этот сайт имеет URL второго и третьего уровня. Пытаясь вызвать переполнение буфера в браузере пользователя, JS_DLOADER.NTJ использует уязвимости браузера.

3. С адреса уже четвертого уровня на сайты с URL третьего уровня загружается троянец, идентифицируемый Trend Micro как TROJ_SMALL.HCK. При первоначальном тестировании специалисты TrendLabs обнаружили, что этот вредоносный кода JavaScript распознает тип браузера и выбирает, какой уязвимостью воспользоваться.

4. Далее с адресов пятого уровня происходит загрузка троянцев TROJ_AGENT.UHL и TROJ_PAKES. TROJ_AGENT.UHL может действовать в качестве прокси-сервера, который позволяет удаленному пользователю анонимно подключаться к Интернету через зараженный компьютер. TROJ_PAKES.NC сохраняется во временной папке пользователя и загружает с URL шестого уровня программу-вора, которая регистрирует клавиатурный ввод компьютера – разновидность троянца SINOWAL.

Специалисты TrendLabs советуют корпоративным пользователям развернуть средства HTTP-сканирования, не позволять ненужным протоколам входить в корпоративную сеть, а также ограничить права всех сетевых пользователей. Кроме того, следует развернуть и корпоративные средства антишпионского сканирования.


Отправить новость
Сообщите редакции новость, интересную читателям 42.TUT.BY