Компания Symantec раскрыла данные дополнительного исследования угрозы Trojan.Milicenso, заставляющей принтеры распечатывать наборы символов до тех пор, пока в них не закончится бумага. Оказалось, что данная вредоносная программа загружается при помощи веб-атаки перенаправления. htaccess.

Файл. htaccess содержит конфигурационные данные веб-сервера, используемые веб-администратором для управления сетевым трафиком.

Перенаправление через. htaccess происходит следующим образом. При переходе пользователя по ссылке браузер запрашивает доступ к скомпрометированному сайту. Затем, используя данные из файла. htaccess, веб-сервер без дополнительных уведомлений перенаправляет пользователя на вредоносный сайт, где может находиться множество угроз.

Чтобы не допустить обнаружения инфекции, запрос к скомпрометированному сайту перенаправляется на вредоносную страницу только при выполнении целого ряда условий: это первое посещение сайта, ссылка открывается из поисковой системы (а не вписывается вручную), компьютер работает под управлением ОС Windows, а также используется браузер, поддерживающий переадресацию.

Изучение журналов позволило определить, что группировка использует данную технологию как минимум с 2010 года. За последние несколько дней специалисты Symantec обнаружили почти 4 тыс. взломанных ресурсов, принадлежащих средним и малым компаниям, а также финансовым и государственным организациям. Большая их часть приходится на домен. com, за которым следуют. org и. net.