• В Беларуси
  • Наука
  • Интернет и связь
  • Гаджеты
  • Игры
  • Офтоп
  • Оружие
  • Архив новостей
    ПНВТСРЧТПТСБВС
  1. Самое лютое соперничество в женской «фигурке» закончилось нападением. В Голливуде об этом даже сняли кино
  2. Парень, который выжил. История 23-летнего Антона, который после ДТП 43 дня провел в коме и выкарабкался
  3. Мэр израильского Лода заявил о полной потере контроля над городом. Нетаньяху ввел режим ЧП
  4. Один из лучших минских спектаклей этого сезона. Почему надо посмотреть «Записки юного врача»
  5. «Парни, подкатывая, просят посоветовать пилу». История лесоруба Вики
  6. «Спасите семью от развода». Подборка самых необычных объявлений о продаже авто
  7. Остаться одному после 67 лет брака. Поговорили с героем, чья история любви год назад восхитила читателей
  8. Журналиста TUT.BY Катерину Борисевич перевели из Жодино в СИЗО Могилева
  9. Многие известные люди поддержали перемены и осудили насилие. Что с ними теперь?
  10. «До переезда я думал, что это типичный Техас с перекати-поле». Белорусы — о жизни в Остине
  11. В Беларуси — сильная геомагнитная буря
  12. Выходец из БРСМ стал новым директором Оперного театра
  13. В Могилеве начался суд над Павлом Северинцем и другими, он закрытый. Всех пришедших поддержать выгнали из здания
  14. Прогноз погоды на короткую рабочую неделю
  15. Эксперт поделился секретами, как легко и эффективно можно почистить газовую плиту
  16. «Боялись последствий со стороны банка». Что говорят в суде над топами Белгазпромбанка взяткодатели
  17. Семье Ромы, который спас брата из горящего дома, выделили арендное жилье
  18. В Green City открывается фудкорт. Первым там заработает «МакДональдс», будет и новый для Минска бренд
  19. «Общество заточено на «откаты». Откровенный разговор с архитектором о строительстве частных домов
  20. Трехкратный восходитель на Эверест — о рисках, очередях к вершине и коронавирусе на такой высоте
  21. Против беззакония и насилия. Девушки в белом гуляют по Минску уже девять месяцев
  22. Белорусские сигареты почти на 2 млн долларов задержали в Польше
  23. «Таких цен никогда не было». Древесина ставит рекорды по стоимости во всем мире. А что у нас?
  24. Дерматолог — о влиянии гель-лака на кожу и ногти, тревожных симптомах и противопоказаниях
  25. В чем секрет храма в Будславе и что о нем надо знать. Вопросы и ответы о костеле, пережившем пожар
  26. Между израильтянами и палестинцами опять война? Разбираем очередное обострение на Ближнем Востоке
  27. Дело Тихановского и Статкевича будет рассматривать Гомельский областной суд
  28. С 13 мая снова дорожает автомобильное топливо
  29. «С большой вероятностью после Лукашенко не будет преемственности». Эксперты о знаковом декрете
  30. Стрельба в школе в Казани: погибли 9 человек


Корпорация Symantec раскрыла подробности о вирусе Trojan.Milicenso, который стал известен благодаря побочному действию - отправке заданий на печать. Принтеры распечатывали случайные наборы символов до тех пор, пока в них не заканчивалась бумага.

В рамках дополнительного исследования удалось установить, что данное вредоносное ПО загружается при помощи веб-атаки перенаправления .htaccess, и как минимум 4000 веб-сайтов были скомпрометированы группировкой, ответственной за данную угрозу.

Перенаправление при помощи файла .htaccess

Файл .htaccess содержит конфигурационные данные веб-сервера, используемые веб-администратором для управления сетевым трафиком. Например, для запрещения доступа к определенным страницам, перенаправления запросов мобильных устройств на специальные сайты и так далее. Для мониторинга
сетевого трафика с легитимными сайтами злоумышленники (и некоторые готовые наборы вредоносного ПО) используют уязвимость веб-серверов для модификации файла .htaccess.

На рисунке ниже показано, как происходит перенаправление через .htaccess.

Путь распространения вируса

1. Когда пользователь переходит по ссылке, браузер запрашивает доступ к скомпрометированному сайту.

2. Веб-сервер перенаправляет пользователя на вредоносный сайт, используя данные из файла .htaccess.

3. На инфицированном сайте может быть множество угроз, потенциально способных использовать определенные уязвимости ПК.

О перенаправлении, описанном в пункте 2, пользователь не предупреждается, и он не имеет никакого представления о том, что произошло "за кулисами".

Файл .htaccess

На рисунке ниже представлен модифицированный файл .htaccess. Чтобы не привлекать внимания сетевых администраторов, атакующий вставил в оригинал более 800 пустых строк как в начале, так и в конце файла.

Модифицированный файл .htaccess

Конфигурация также была очень аккуратно сконструирована, чтобы не допустить обнаружения инфекции внешними пользователями или исследователями. Запрос к скомпрометированному сайту перенаправляется на вредоносную страницу, только при выполнении всех следующих условий:

1. Это первое посещение сайта (при последующих посещениях перенаправления не происходит).

2. Веб-сайт посещается при переходе по ссылке из поисковой системы, SNS или электронной почты (перенаправления не происходит, если пользователь заходит на веб-сайт из своих закладок или просто вписывая URL в адресную строку браузера).

3. Угроза работает только на платформе Windows (на других платформах перенаправления не происходит).

4. Используется популярный веб-браузер (переадресация не предусмотрена для альтернативных браузеров и поисковых систем).

Атакующий может отслеживать источник трафика, вставляя в запрос переадресации оригинальную URL, как показано на рисунке ниже:

Конфигурация файла .htaccess, обеспечивающая перенаправление на вредоносный сайт

Вредоносные веб-сайты

Изучение журналов позволило определить, что группировка использует технологию переадресации .htaccess как минимум с 2010 года. Перечень некоторых наиболее "свежих" вредоносных сайтов представлен ниже:

- [Случайное имя домена].tedzstonz.com;

- [Случайное имя домена].tgpottery.com;

- [Случайное имя домена].yourcollegebody.com;

- [Случайное имя домена].tgpottery.com;

- [Случайное имя домена].beeracratic.com;

- [Случайное имя домена].buymeaprostitute.com;

- [Случайное имя домена].zoologistes-sansfrontiere.com;

- [Случайное имя домена].zoologistes-sansfrontiere.com;

- [Случайное имя домена].buymeaprostitute.com;

- [Случайное имя домена].wheredoesshework.com;

- [Случайное имя домена].wheredidiwork.com;

- [Случайное имя домена].jordanmcbain.com;

- [Случайное имя домена].bankersbuyersguide.net;

- [Случайное имя домена].findmeaprostitute.com;

- [Случайное имя домена].watchmoviesnchat.com;

- [Случайное имя домена].joincts.info.

Атакующие меняют имена доменов как можно чаще, чтобы избежать блокировки или попадания в черный список. В 2010 и 2011 годах злоумышленники переходили на новый домен каждые несколько месяцев, а в 2012 переходы происходят почти ежедневно.

Скомпрометированные веб-сайты

За последние несколько дней специалисты Symantec обнаружили почти 4000 уникальных взломанных веб-сайтов, которые перенаправляют пользователей на вредоносные ресурсы. Большинство из них являются персональными страницами или сайтами средних и малых компаний, однако в перечне также присутствуют государственные, телекоммуникационные и финансовые организации, сайты которых также были скомпрометированы.

Распределение взломанных сайтов по доменам верхнего уровня

На диаграмме представлено распределение скомпрометированных веб-сайтов по доменам верхнего уровня. Как обычно, большая часть приходится на домен .com, за которым следуют .org и .net. Из более чем 90 стран, попавших в этот список, на Европу и Латинскую Америку приходится наибольшая часть взломанных сайтов, что соответствует распространению вируса Trojan.Milicenso.
-5%
-5%
-30%
-10%
-20%
-10%
-20%
-30%
0073023