Symantec: подробиці дії трояна Trojan.Milicenso
Корпорація Symantec розкриває подробиці про загрозу Trojan.Milicenso, яка стала відома завдяки побічної дії - відправлення завдань на друк.
Принтери розпечатували випадкові набори символів до тих пір, поки в них не закінчувалася папір. В рамках додаткового дослідження вдалося встановити, що дане шкідливе ПО завантажується за допомогою веб-атаки перенаправлення .htaccess, і як мінімум 4 000 веб-сайтів були скомпрометовані угрупованням, відповідальної за дану загрозу.
Файл .htaccess містить конфігураційні дані веб-сервера, що використовуються веб-адміністратором для управління мережевим трафіком. Наприклад, для заборони доступу до певних сторінок, перенаправлення запитів мобільних пристроїв на спеціальні сайти і так далі. Для моніторингу мережевого трафіку з легітимними сайтами зловмисники (і деякі готові набори шкідливого ПО) використовують уразливість веб-серверів для модифікації файлу .htaccess. Коли користувач переходить за посиланням, браузер запитує доступ до скомпрометованому сайту. Веб-сервер перенаправляє користувача на шкідливий сайт, використовуючи дані з файлу .htaccess, про що користувач не попереджається, так що він не має жодного уявлення про те, що сталося «за лаштунками». А тим часом на інфікованому сайті може бути безліч загроз, потенційно здатних використовувати певні уразливості ПК.
Система була дуже акуратно сконструйована, щоб не допустити виявлення інфекції зовнішніми користувачами або дослідниками. Запит до скомпрометованому сайту перенаправляється на шкідливу сторінку, тільки при виконанні ряду умов:
1. Це перші відвідини сайту (при наступних відвідинах перенаправлення не відбувається);
3. Загроза працює тільки на платформі Windows (на інших платформах перенаправлення не відбувається);
За останні кілька днів фахівці Symantec виявили майже 4 000 унікальних зламаних веб-сайтів, які перенаправляють користувачів на шкідливі ресурси. Більшість з них є персональними сторінками або сайтами середніх і малих компаній, проте в переліку також присутні державні, телекомунікаційні та фінансові організації, сайти яких також були скомпрометовані. Велика їх частина припадає на домен .com, за яким слідують .org і .net. З більш ніж 90 країн, що потрапили в цей список, на Європу і Латинську Америку припадає найбільша частина зламаних сайтів, що відповідає поширенню вірусу Trojan.Milicenso.