Опубликована подробная информация о троянце Trojan.Milicenso

Компания Symantec опубликовала информацию о новом троянце Trojan.Milicenso, загружающегося посредством веб-атаки перенаправления .htaccess. Вирус стал известен благодаря побочному действию – отправке заданий на печать, когда принтеры распечатывали случайные наборы символов, пока у них не заканчивалась бумага.

Файл .htaccess содержит конфигурационные данные веб-сервера, используемые веб-администратором для управления сетевым трафиком. Что любопытно, файл имеет более 800 пустых строк как в начале, и в 800 пустых строк в конце файла.

Перенаправление через .htaccess. происходит следующим образом:

1. Когда пользователь переходит по ссылке, браузер запрашивает доступ к скомпрометированному сайту. Причем запрос происходит только в тех случаях если это первое посещение сайта, посещение происходит при переходе по ссылке из поисковой системы, SNS или электронной почты, пользователь работает в среде Windows и используется какой-нибудь популярный веб-браузер

2. Веб-сервер незаметно перенаправляет пользователя на вредоносный сайт, используя данные из файла .htaccess.

3. На инфицированном сайте может быть множество угроз, потенциально способных использовать определенные уязвимости ПК.

Ниже приведены некоторые наиболее “свежие” вредоносные сайты: 

• [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].tedzstonz.com;
• [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].tgpottery.com;
• [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].yourcollegebody.com;

За последние несколько дней специалисты Symantec обнаружили почти 4 000 уникальных взломанных веб-сайтов, которые перенаправляют пользователей на вредоносные ресурсы. Большинство из них являются персональными страницами или сайтами средних и малых компаний, однако в перечне также присутствуют государственные, телекоммуникационные и финансовые организации, сайты которых также были скомпрометированы.

 Противодействие угрозе состоит в следующем:

Для веб-администраторов

Антивирусные продукты Symantec определяют заражённые файлы .htaccess как Trojan.Malhtaccess. Удалите их, замените последней известной безопасной резервной копией и установите обновления безопасности для всех используемых операционных систем и веб-приложений, включая CMS.

Для пользователей

В дополнение к антивирусным сигнатурам, специалисты Symantec создали специальную сигнатуру IPS 25799: Web Attack: Malicious Executable Download 6, которая автоматически защищает пользователей от перенаправления на вредоносные ресурсы.