Symantec: подробности о работе «принтерного» вируса

Корпорация Symantec опубликовала подробности об угрозе Trojan.Milicenso, которая стала известна благодаря побочному действию – отправке заданий на печать (принтеры распечатывали случайные наборы символов до тех пор, пока в них не заканчивалась бумага). В рамках дополнительного исследования удалось установить, что вредоносное ПО загружается при помощи Web-атаки перенаправления .htaccess, и как минимум 4000 сайтов были скомпрометированы группировкой, ответственной за данную угрозу.

Файл .htaccess содержит конфигурационные данные Web-сервера, используемые-администратором для управления сетевым трафиком: например, для запрещения доступа к определенным страницам, перенаправления запросов мобильных устройств на специальные сайты. Для мониторинга сетевого трафика с легитимными сайтами злоумышленники (и некоторые готовые наборы вредоносного ПО) используют уязвимость Web-серверов для модификации файла .htaccess.

Когда пользователь переходит по ссылке, браузер запрашивает доступ к скомпрометированному сайту. Web-сервер перенаправляет пользователя на вредоносный сайт, используя данные из файла .htaccess. На инфицированном сайте может быть множество угроз, потенциально способных использовать определенные уязвимости ПК. Пользователь не предупреждается о перенаправлении и не имеет никакого представления о том, что произошло «за кулисами».

Конфигурация также была аккуратно сконструирована, чтобы не допустить обнаружения инфекции внешними пользователями или исследователями. Запрос к скомпрометированному сайту перенаправляется на вредоносную страницу только при выполнении всех следующих условий:

1) это первое посещение сайта (при последующих посещениях перенаправления не происходит);

2) сайт посещается при переходе по ссылке из поисковой системы, SNS или электронной почты (перенаправления не происходит, если пользователь заходит на сайт из своих закладок или просто вписывая URL в адресную строку браузера);

3) угроза работает только на платформе Windows (на других платформах перенаправления не происходит);

4) используется популярный браузер (переадресация не предусмотрена для альтернативных браузеров и поисковых систем).

Атакующие меняют имена доменов как можно чаще, чтобы избежать блокировки или попадания в черный список. В 2010 и 2011 гг. злоумышленники переходили на новый домен каждые несколько месяцев, а в 2012-м — почти ежедневно.

Специалисты Symantec обнаружили почти 4000 уникальных взломанных сайтов, которые перенаправляют пользователей на вредоносные ресурсы. Большинство из них являются персональными страницами или сайтами средних и малых компаний, однако в перечне также присутствуют государственные, телекоммуникационные и финансовые организации, сайты которых также были скомпрометированы. Большая часть из них приходится на домен .com, за которым следуют .org и .net. Из более чем 90 стран, попавших в этот список, на Европу и Латинскую Америку приходится наибольшая часть взломанных сайтов, что соответствует распространению вируса Trojan.Milicenso.

Антивирусные продукты Symantec определяют зараженные файлы .htaccess как Trojan.Malhtaccess. Адмнистратору рекомендуется удалить их, заменить последней известной безопасной резервной копией и установить обновления безопасности для всех используемых ОС и Web-приложений, включая CMS.

Для пользователей в дополнение к антивирусным сигнатурам Symantec предлагает специальную сигнатуру IPS 25799: Web Attack: Malicious Executable Download 6, которая автоматически защищает от перенаправления на вредоносные ресурсы.