• В Беларуси
  • Наука
  • Интернет и связь
  • Гаджеты
  • Игры
  • Оружие
  • Архив новостей
    ПНВТСРЧТПТСБВС
  1. «Пышка не дороже жетона». Минчане делают бизнес на продукте, за которым в Питере стоят очереди
  2. Белоруска едет на престижнейший конкурс красоты. И покажет дорогое платье, аналогов которому нет
  3. Байкеры пытались отбить товарища у неизвестных у ТЦ «Европа». Ими оказались силовики, парней отправили в колонию
  4. Могилев лишился двух уникальных имиджевых объектов — башенных часов и горниста (и все из-за политики). Что дальше?
  5. По Мстиславлю уже 5 месяцев гуляет стадо оленей. Жители говорят, что олениха с детенышем ранена
  6. «Усе зразумелi: вірус існуе, ад яго можна памерці». Год, как в Беларусь пришел COVID: поговорили со вдовой первой жертвы
  7. Чиновники придумали, что сделать, чтобы белорусы покупали больше отечественных продуктов
  8. Экс-директору отделения Белгазпромбанка в Могилеве Сергею Кармызову вынесли приговор
  9. Показываем, как выглядит часть зданий БПЦ на улице Освобождения, ради которых снесли объекты ИКЦ
  10. Звезда белорусской оперы сказал три слова на видео, его уволили «за аморальный проступок» — и суд с этим согласился
  11. Минчане пришли поставить подпись под обращением к депутату — и получили от 30 базовых до 15 суток
  12. Год назад в Беларусь пришел коронавирус. Рассказываем про эти 12 месяцев в цифрах и фактах
  13. Год назад в Беларуси выявили первый случай COVID-19. Что сделано за год, а что — нет
  14. «Куплен новым в 1981 году в Германии». История 40-летнего Opel Rekord с пробегом 40 тысяч, который продается в Минске
  15. «Фантастика какая-то». В Гродно начали судить водителя Тихановского, который молчал все следствие
  16. 57-летняя белоруска выиграла международный конкурс красоты. Помогли уверенность и советы Хижинковой
  17. Один из почетных консулов Беларуси в Италии подал в отставку из-за несогласия с происходящим после выборов
  18. «Теряю 2500 рублей». Работники требуют, чтобы «плюшки» были не только членам провластного профсоюза
  19. Что происходит в Беларуси 28 февраля. Онлайн дня
  20. Минское «Динамо» проиграло в гостях питерскому СКА
  21. «Будет готов за три-четыре месяца». Частные дома с «завода» — сколько они стоят и как выглядят
  22. Судьба ставки рефинансирования, обновленный КоАП, дедлайн по налогам, заморозка цен. Изменения марта
  23. «Ситуация, похоже, только ухудшилась». Представитель Верховного комиссара ООН — о правах человека в Беларуси
  24. Рынок лекарств штормит. Посмотрели, как изменились цены на одни и те же препараты с конца 2020-го
  25. Защитник Бабарико и Колесниковой подал жалобу в суд на лишение его лицензии, но ему отказали
  26. «Врачи нас готовили к смерти Саши». История Марии, у чьей дочери пищевод не соединялся с желудком
  27. Во всех районах Беларуси упали зарплаты, в некоторых — больше чем на 300 рублей
  28. Минздрав рассказал, сколько пациентов инфицировано COVID-19 за последние сутки и сколько умерло
  29. Секс-символ биатлона развелась и снялась для Playboy (но уже закрутила роман с близким другом)
  30. «Бэушка» из США против «бэушки» из Европы: разобрали, какой вариант выгоднее, на конкретных примерах


Корпорация Symantec раскрыла подробности о вирусе Trojan.Milicenso, который стал известен благодаря побочному действию - отправке заданий на печать. Принтеры распечатывали случайные наборы символов до тех пор, пока в них не заканчивалась бумага.

В рамках дополнительного исследования удалось установить, что данное вредоносное ПО загружается при помощи веб-атаки перенаправления .htaccess, и как минимум 4000 веб-сайтов были скомпрометированы группировкой, ответственной за данную угрозу.

Перенаправление при помощи файла .htaccess

Файл .htaccess содержит конфигурационные данные веб-сервера, используемые веб-администратором для управления сетевым трафиком. Например, для запрещения доступа к определенным страницам, перенаправления запросов мобильных устройств на специальные сайты и так далее. Для мониторинга
сетевого трафика с легитимными сайтами злоумышленники (и некоторые готовые наборы вредоносного ПО) используют уязвимость веб-серверов для модификации файла .htaccess.

На рисунке ниже показано, как происходит перенаправление через .htaccess.

Путь распространения вируса

1. Когда пользователь переходит по ссылке, браузер запрашивает доступ к скомпрометированному сайту.

2. Веб-сервер перенаправляет пользователя на вредоносный сайт, используя данные из файла .htaccess.

3. На инфицированном сайте может быть множество угроз, потенциально способных использовать определенные уязвимости ПК.

О перенаправлении, описанном в пункте 2, пользователь не предупреждается, и он не имеет никакого представления о том, что произошло "за кулисами".

Файл .htaccess

На рисунке ниже представлен модифицированный файл .htaccess. Чтобы не привлекать внимания сетевых администраторов, атакующий вставил в оригинал более 800 пустых строк как в начале, так и в конце файла.

Модифицированный файл .htaccess

Конфигурация также была очень аккуратно сконструирована, чтобы не допустить обнаружения инфекции внешними пользователями или исследователями. Запрос к скомпрометированному сайту перенаправляется на вредоносную страницу, только при выполнении всех следующих условий:

1. Это первое посещение сайта (при последующих посещениях перенаправления не происходит).

2. Веб-сайт посещается при переходе по ссылке из поисковой системы, SNS или электронной почты (перенаправления не происходит, если пользователь заходит на веб-сайт из своих закладок или просто вписывая URL в адресную строку браузера).

3. Угроза работает только на платформе Windows (на других платформах перенаправления не происходит).

4. Используется популярный веб-браузер (переадресация не предусмотрена для альтернативных браузеров и поисковых систем).

Атакующий может отслеживать источник трафика, вставляя в запрос переадресации оригинальную URL, как показано на рисунке ниже:

Конфигурация файла .htaccess, обеспечивающая перенаправление на вредоносный сайт

Вредоносные веб-сайты

Изучение журналов позволило определить, что группировка использует технологию переадресации .htaccess как минимум с 2010 года. Перечень некоторых наиболее "свежих" вредоносных сайтов представлен ниже:

- [Случайное имя домена].tedzstonz.com;

- [Случайное имя домена].tgpottery.com;

- [Случайное имя домена].yourcollegebody.com;

- [Случайное имя домена].tgpottery.com;

- [Случайное имя домена].beeracratic.com;

- [Случайное имя домена].buymeaprostitute.com;

- [Случайное имя домена].zoologistes-sansfrontiere.com;

- [Случайное имя домена].zoologistes-sansfrontiere.com;

- [Случайное имя домена].buymeaprostitute.com;

- [Случайное имя домена].wheredoesshework.com;

- [Случайное имя домена].wheredidiwork.com;

- [Случайное имя домена].jordanmcbain.com;

- [Случайное имя домена].bankersbuyersguide.net;

- [Случайное имя домена].findmeaprostitute.com;

- [Случайное имя домена].watchmoviesnchat.com;

- [Случайное имя домена].joincts.info.

Атакующие меняют имена доменов как можно чаще, чтобы избежать блокировки или попадания в черный список. В 2010 и 2011 годах злоумышленники переходили на новый домен каждые несколько месяцев, а в 2012 переходы происходят почти ежедневно.

Скомпрометированные веб-сайты

За последние несколько дней специалисты Symantec обнаружили почти 4000 уникальных взломанных веб-сайтов, которые перенаправляют пользователей на вредоносные ресурсы. Большинство из них являются персональными страницами или сайтами средних и малых компаний, однако в перечне также присутствуют государственные, телекоммуникационные и финансовые организации, сайты которых также были скомпрометированы.

Распределение взломанных сайтов по доменам верхнего уровня

На диаграмме представлено распределение скомпрометированных веб-сайтов по доменам верхнего уровня. Как обычно, большая часть приходится на домен .com, за которым следуют .org и .net. Из более чем 90 стран, попавших в этот список, на Европу и Латинскую Америку приходится наибольшая часть взломанных сайтов, что соответствует распространению вируса Trojan.Milicenso.
-20%
-40%
-50%
-5%
-15%
-20%
-20%
-15%
-25%
-25%
0072641