Symantec: Троян Milicenso скомпрометировал около 4000 сайтов

SymantecКорпорация Symantec опубликовала подробности об вредоносе - Trojan.Milicenso, отправляющему задания на печать. Принтеры распечатывали случайные наборы символов до тех пор, пока в них не заканчивалась бумага. В результате исследования удалось установить, что данное вредоносное ПО загружается при помощи веб-атаки перенаправления .htaccess, и как минимум 4 000 веб-сайтов были скомпрометированы группировкой, ответственной за данную угрозу.


Перенаправление при помощи файла .htaccess

Файл .htaccess содержит конфигурационные данные веб-сервера, используемые веб-администратором для управления сетевым трафиком. Для мониторинга сетевого трафика с легитимными сайтами злоумышленники (и некоторые готовые наборы вредоносного ПО) используют уязвимость веб-серверов для модификации файла .htaccess.

htaccess File Redirection
Путь распространения вируса

  • При переходе пользователем по ссылке, браузер запрашивает доступ к скомпрометированному сайту;
  • Используя данные из файла .htaccess, веб-сервер перенаправляет пользователя на вредоносный сайт;
  • На инфицированном сайте может быть множество угроз, потенциально способных использовать определенные уязвимости ПК.


Файл .htaccess
Чтобы не привлекать внимания сетевых администраторов, атакующий вставил в оригинал более 800 пустых строк, как в начале, так и в конце файла.

Modificirovannii fail htaccess
Модифицированный файл .htaccess

Конфигурация была очень аккуратно сконструирована, чтобы не допустить обнаружения инфекции внешними пользователями или исследователями. Запрос к скомпрометированному сайту перенаправляется на вредоносную страницу, только при выполнении всех ниже перечисленных условий:

  • Это первое посещение сайта (при последующих посещениях перенаправления не происходит);
  • Веб-сайт посещается при переходе по ссылке из поисковой системы, SNS или электронной почты (перенаправления не происходит, если пользователь заходит на веб-сайт из своих закладок или просто вписывая URL в адресную строку браузера);
  • Угроза работает только на платформе Windows (на других платформах перенаправления не происходит);
  • Используется популярный веб-браузер (переадресация не предусмотрена для альтернативных браузеров и поисковых систем).


Атакующий может отслеживать источник трафика, вставляя в запрос переадресации оригинальную URL.

Konfiguraciya faila htaccess obespech perenapr na vredonos site
Конфигурация файла .htaccess, обеспечивающая перенаправление на вредоносный сайт


Вредоносные веб-сайты
Эксперты определили, что группировка использует технологию переадресации .htaccess как минимум с 2010 года. Перечень некоторых наиболее "свежих" вредоносных сайтов:

  • [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].tedzstonz.com;
  • [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].tgpottery.com;
  • [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].yourcollegebody.com;
  • [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].tgpottery.com;
  • [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].beeracratic.com;
  • [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].buymeaprostitute.com;
  • [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].zoologistes-sansfrontiere.com;
  • [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].zoologistes-sansfrontiere.com;
  • [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].buymeaprostitute.com;
  • [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].wheredoesshework.com;
  • [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].wheredidiwork.com;
  • [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].jordanmcbain.com;
  • [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].bankersbuyersguide.net;
  • [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].findmeaprostitute.com;
  • [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].watchmoviesnchat.com;
  • [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].joincts.info.


Атакующие меняют имена доменов как можно чаще, чтобы избежать блокировки или попадания в черный список. В 2010 и 2011 годах злоумышленники переходили на новый домен каждые несколько месяцев, а в 2012 переходы происходят почти ежедневно.


Скомпрометированные веб-сайты
За последние несколько дней специалисты Symantec обнаружили почти 4 000 уникальных взломанных веб-сайтов, перенаправляющих пользователей на вредоносные ресурсы. Большинство из них являются персональными страницами или сайтами средних и малых компаний. Однако в перечне также присутствуют государственные, телекоммуникационные и финансовые организации, сайты которых также были скомпрометированы.

Raspredelenie vzlom saitov po domenam
Распределение взломанных сайтов по доменам верхнего уровня

Как обычно, большая часть приходится на домены:

  • .com;
  • .org;
  • .net.


Из более чем 90 стран, попавших в этот список, на Европу и Латинскую Америку приходится наибольшая часть взломанных сайтов, что соответствует распространению вируса Trojan.Milicenso.


Обновлено (13.07.2012 13:34)