Вирус на уебсайт или етикет IFRAME

Това прави нов троянски кон, който краде пароли за достъп и често не се открива от антивирусни програми

Съответно, вълна от искове и обвинения срещу хостери обхвана поради "хакване" на потребителски хостове, които взеха такъв мащаб, че беше просто време да обвиним хостери, но те нямат нищо общо с това, се установи в почти 99% от анализа на системните дневници.

Същността на промените е, че следният код се появява на страницата index.html (или index.php и т.н.):

Маркерът iframe обикновено има стойността width = "0" и height = "0", което означава, че няма да видите началния прозорец на "левия" сайт, тъй като са зададени нулевите координати на този прозорец. В най-новите версии този маркер е маскиран по всякакъв възможен начин чрез кодиране BASE64, така че по време на бегъл преглед на кода да не бъде забелязан, а в някои случаи са известни инфекции чрез DIV тагове.

Анализът на механизма за заразяване на сайта показа следния резултат. Индексните страници бяха променени чрез FTP LEGAL връзка, тоест не беше извършено хакване на сайта, а беше извършено само влизане/парола и последващото модифициране на файловете на сайта. След по-подробно проучване се оказа, че това поведение е присъщо на троянската програма на семейството Pinch, която може да заобиколи защитни стени и антивирусни програми и да открадне всичко, до което може да достигне, включително пароли, запазени в IE, CuteFTP, Total Commander и дузина други програми.

Самата инфекция възниква, както следва:

  • Trojan-Downloader.VBS се изтегля първо. Psyme.fc е програма за изтегляне на троянски програми за други троянски коне, името се променя няколко пъти наскоро.
  • Тя е тази, която зарежда още два вируса - Trojan-PSW.Win32.LdPinch.bik (или модификация) и Trojan.Win32.Agent.oh (по избор).

Най-интересното е, че както DrWeb, така и антивирусът KAV, който впоследствие беше инсталиран след него, определиха, че троянец се изтегля на компютъра и е елиминиран. Един нюанс: от самото начало на изтегляне на файлове от заразения сайт, файлът new.exe е създаден и изпълнен на работния плот. В папката на Windows се появиха файлове с име r.exe или c.exe, които антивирусът не разпозна като опасни. Според показанията на други потребители в папката на Windows може да се създаде фалшив файл, наречен svchost.exe (оригиналът е в папката System32). Тогава в процесите на операционната система е трудно да се определи кой от процесите, използвани от програмата svchost.exe, е верен и кой е фалшив. Ако имате този софтуер и се появи такъв маркер, тогава е напълно възможно или да е стартирана модификация на този вирус, която успява да заобиколи антивируса, или да работи друг вирус с подобен алгоритъм. Има и друг вариант, и то много вероятно. Използваният троянец принадлежи на руткитове (програми, вградени в ядрото на операционната система), които са трудни за откриване от антивирусен софтуер. Или се използва уязвимостта на Internet Explorer 6. Ето как е писано за нея: Отдалечен потребител може да използва специално оформена уеб страница, за да изтегли произволен HTA файл в отдалечената система и след това да го изпълни с привилегиите на потребителя, стартирал браузъра . Успешното използване на уязвимостта би позволило на нападателя да изпълни произволен код на целевата система.

Ако този проблем ви се е случил:

Също така, в такъв случай, нашата компания може да предостави изрезки от системните дневници на ftp връзки по ваше желание, които по правило съдържат периодични влизания чрез ftp и изтегляне на заразени страници.