Записи с меткой «сайты»

Новостной дайджест «Доктор Веб» — Trojan.Triosir.1 — очередной рекламный троянец

Posted: Февраль 11, 2014 in Антивирус, Доктор Веб, Новости, антивирусы, атака, компьютеры, поиск, пользователи, программы, софт, срочно, техника, угрозы
Метки:, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Dr.Web

10 февраля 2014 года

Специалисты компании «Доктор Веб» обращают внимание пользователей на то, что в последнее время чрезвычайно широкое распространение получили вредоносные программы, предназначенные для демонстрации в окне браузера навязчивой рекламы и подмены содержимого веб-страниц. Опасность подобных троянцев заключается прежде всего в том, что они демонстрируют рекламные объявления на популярных сайтах, к которым пользователи относятся с высокой степенью доверия, а среди рекламируемых ресурсов нередко встречаются мошеннические сайты и веб-страницы, замеченные в распространении вредоносного ПО. Одной из таких угроз является троянец Trojan.Triosir.1, о появлении которого компания «Доктор Веб» предупреждает пользователей.

Trojan.Triosir.1 распространяется с использованием ресурсов партнерской программы Installmonster вместе с различными приложениями и использует для своей установки инсталлятор Amonetize (amonetize.com). Функционал Trojan.Triosir.1 в целом схож с возможностями троянца Trojan.Zadved.1, о котором компания «Доктор Веб» уже рассказывала в одной из своих публикаций. Основное назначение Trojan.Triosir.1 — подмена содержимого просматриваемых пользователем веб-страниц посредством технологии веб-инжектов, при этом демонстрируемая троянцем реклама включает ссылки на различные мошеннические ресурсы. Основные модули троянца реализованы в виде плагинов (надстроек) к популярным браузерам. В частности, Trojan.Triosir.1 распространяется вместе с приложением для создания снимков экрана Screeny, устанавливающим в процессе своей инсталляции одноименный плагин для браузеров Mozilla Firefox, Chrome и Opera, который остается в системе даже после удаления основного приложения.

screenshot

Установленные в инфицированной системе плагины выполняют закачку основного файла вредоносного сценария с удаленного сервера. Данный сценарий, предназначенный для подмены рекламных модулей и встраивания в веб-страницы посторонней рекламы, начинает работать не сразу, а «выжидает» некоторое время, чтобы усыпить бдительность пользователя. При этом в его структуре прописаны специальные алгоритмы внедрения рекламы в страницы некоторых наиболее популярных интернет-ресурсов, например, социальной сети «ВКонтакте», «Одноклассники» и др. Вредоносный скрипт обладает достаточно продвинутым функционалом: например, он умеет получать информацию о поле и дате рождения пользователя из его профиля в социальной сети.

screenshot

screenshot

Среди рекламируемых троянцем ресурсов преобладают мошеннические сайты, подписывающие пользователя на различные услуги путем отправки на указанный им номер мобильного телефона СМС-сообщения с кодом подтверждения.

screenshot

Помимо наиболее популярных и посещаемых сайтов, Trojan.Triosir.1 умеет подменять рекламу и на веб-страницах, не входящих в «привилегированный список». При этом троянец обладает специальной функцией распознавания «плохих» с точки зрения рекламодателей сайтов с использованием специального фильтра ключевых слов — на таких ресурсах реклама не подменяется. Кроме того, Trojan.Triosir.1 специально ищет на веб-страницах и заменяет своими модулями рекламу нескольких партнерских сетей, среди которых — lcads.ru, marketgid.com, visitweb.com, luxup.ru, pcads.ru, gredinatib.info, fulldl.net, adcash.com, tbn.ru, и некоторые другие. Также в коде троянца предусмотрен набор правил, позволяющих «прятать» некоторые элементы на сайтах my.mail.ru, fotostrana.ru, loveplanet.ru, kinopoisk.ru, mamba.ru, go.mail.ru, love.mail.ru, auto.ru, otvet.mail.ru, sprashivai.ru и avito.ru.

Имеются основания полагать, что к созданию и распространению троянца причастна новосибирская компания Trioris, работающая по следующей схеме монетизации: компания отыскивает какое-либо приложение, договаривается с его разработчиками и, добавив в состав программы дополнительные плагины, занимается ее распространением, либо заключает договор дистрибуции с третьей стороной — например, компанией Amonetize, распространяющей Trojan.Triosir.1 с использованием возможностей партнерской программы Installmonster.

Сигнатура Trojan.Triosir.1 добавлена в вирусные базы Dr.Web и потому эта вредоносная программа не представляет серьезной опасности для пользователей антивирусных продуктов производства компании «Доктор Веб».

Источник

Обнаружен вирус, имитирующий страницы «ВКонтакте» и «Одноклассников»

 Троянец Trojan.Zekos блокирует доступ к сайтам социальных сетей и подменяет их фальшивыми страницами, имитирующими настоящие.

Вместо страницы своего профиля «ВКонтакте» или в «Одноклассниках» пользователь видит поддельную веб-страницу, похожую по дизайну на оригинальную, с сообщением о том, что профиль заблокирован, и предложением ввести в соответствующее поле номер телефона и подтверждающий код, полученный в ответном СМС. На поддельной странице даже указано настоящее имя ее владельца. Вот примеры текстов таких сообщений, которые приводят специалисты антивирусной компании Doctor Web:

«Мы зафиксировали попытку взлома Вашей страницы. Не беспокойтесь, она в безопасности. Чтобы обезопасить Вашу страницу от злоумышленников и в будущем, мы просим Вас подтвердить привязку к телефону и придумать новый сложный пароль».

Обнаружен вирус, имитирующий страницы «ВКонтакте» и «Одноклассников»

«Ваша страница была заблокирована по подозрению на взлом! Наша система безопасности выявила массовую рассылку спам-сообщений с Вашего аккаунта, и мы были вынуждены временно заблокировать его. Для восстановления доступа к аккаунту Вам необходимо пройти валидацию через мобильный телефон».

Обнаружен вирус, имитирующий страницы «ВКонтакте» и «Одноклассников»

После выполнения инструкций компьютер пользователя заражают вирусом, который перехватывает DNS-запросы и вместо запрошенных пользователем сайтов показывает сайты, принадлежащие злоумышленникам. При этом адрес сайта остается правильным.

Источник

Dr.Web

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — сообщает об активном распространении вредоносных программ семейства Trojan.Hiloti, предназначенных для подмены поисковой выдачи. Злоумышленники организовали специальную партнерскую программу с целью увеличения количества установок вредоносного ПО, и используют в своих целях набор эксплойтов, при помощи которых троянские программы загружаются на компьютеры потенциальных жертв.

Термин «подмена выдачи» хорошо известен специалистам по информационной безопасности, а также многим пользователям Интернета, ставшим жертвами злоумышленников. Данную функцию реализует множество вредоносных программ: установившись на компьютере жертвы, такие троянцы отслеживают активность веб-браузеров, и при обращении пользователя к ресурсам поисковых систем вместо результатов поиска выдают пользователю ссылки на различные, в том числе мошеннические, сайты. К указанной категории относятся и троянцы семейства Trojan.Hiloti, отдельные представители которого получили распространение еще в 2010 году. На сегодняшний день в вирусных базах Dr.Web имеется более 80 записей, соответствующих различным версиям этой угрозы. Появление новых модификаций Trojan.Hiloti специалисты связывают с организацией партнерской программы Podmena-2014, к которой злоумышленники пытаются привлечь распространителей вредоносного ПО.

Вирусописатели предлагают владельцам сайтов разместить на своих площадках специальный сценарий, который с определенным интервалом загружает с сервера злоумышленников исполняемый файл вредоносной программы Trojan.Hiloti. Вместе с установщиком самого троянца распространяется модуль руткита, позволяющий скрывать работу вредоносной программы в инфицированной операционной системе. С целью усложнить детектирование Trojan.Hiloti исполняемый файл троянца автоматически переупаковывается на сервере злоумышленников через определенные промежутки времени.

Загрузка троянца на компьютеры потенциальных жертв осуществляется с использованием уязвимостей CVE-2012-4969, CVE-2013-2472, CVE-2013-2465 и CVE-2013-2551, а также методов социальной инженерии.

screenshot

1 — Заказчик заключает с партнерской программой соглашение о продвижении ссылок. 2 — Партнерская программа передает вредоносное ПО распространителям, которые размещают его на сайтах. 3 — При посещении сайтов распространителей вредоносного ПО инфицируется компьютер жертвы. 4 — При обращении к ресурсам поисковых систем жертва переходит по ссылкам, демонстрируемым в окне бразуера вредоносным ПО, информация об этом передается партнерской программе. 5 — Заказчик оплачивает партнерской программе переходы по ссылкам. 6 — Часть этих средств поступает распространителям вредоносного ПО.

Злоумышленники предлагают распространителям достаточно простую схему работы: те способствуют установке Trojan.Hiloti на компьютеры пользователей, разместив определенный код на принадлежащих им интернет-ресурсах, после чего при попытке жертвы выполнить какой-либо запрос на поисковом сайте троянец будет демонстрировать в окне браузера оплаченные рекламодателями ссылки вместо ожидаемой поисковой выдачи. В некоторых случаях переход пользователя по подобным ссылкам приводит к загрузке различных нежелательных приложений, таких как поддельные антивирусы, требующие оплаты за «лечение» компьютера. Распространители же получают процент от дохода, полученного злоумышленниками в рамках данной партнерской программы.

Несмотря на все ухищрения вирусописателей, троянцы семейства Trojan.Hiloti детектируются антивирусом Dr.Web, поэтому пользователи, установившие на своих компьютерах антивирусное ПО, разработанное компанией «Доктор Веб», защищены от этой угрозы. Вместе с тем, пользователям рекомендуется быть бдительными, не сохранять на диск и не запускать исполняемые файлы, загружаемые с подозрительных сайтов, а также вовремя устанавливать обновления операционной системы и прикладного ПО.

Источник

Соцсети, «клубничка» и пиратский софт — главные угрозы нижегородским детям в Интернете

Начало лета. Впереди у российских школьников длинные каникулы. Пока
родители заняты на работе, дети предоставлены сами себе больше времени,
чем обычно. Многие из них будут чаще бывать не только на улице, но и в
Интернете. Однако в Сети их подстерегает не меньше опасностей. Различные
угрозы — от банальных вирусов до самого настоящего мошенничества,
не говоря уже о недетском контенте, — могут серьёзно навредить
ребенку, а то и всей семье. «Лаборатория Касперского»
рассказывает об опасностях, которые грозят юным пользователям, и о
способах защиты от них.

В России сегодня налицо тенденция «гаджетизации». По данным
исследования «Лаборатории Касперского»*, на одну российскую
семью в среднем приходится 3,6 различных электронных девайса с доступом
в Сеть и возможностью хранения больших объемов информации. В 16%
домохозяйств есть все типы гаджетов — ПК, ноутбук, смартфон,
планшет. Нередко у детей есть личные гаджеты. Проконтролировать
пребывание своих чад в Сети родители могут далеко не всегда, однако, как
выяснилось в ходе исследования, большинству это и не надо. Увы, но
сегодня лишь 1/3 российских пап и мам всерьез обеспокоена тем, что их
дети делают в Интернете.

Как обстоят дела в Нижнем Новгороде? «Лаборатория
Касперского» проанализировала данные облачного сервиса KSN и
модуля «Родительский контроль» ** в своих защитных
продуктах. Юных пользователей Нижнего Новгорода привлекает определенный
набор потенциально опасных ресурсов. На первом месте оказались
социальные сети. На них приходится 63,38% заходов при включенной функции
«Родительского контроля». Это в целом повторяет
общероссийскую тенденцию (59,6%). Дальше начинаются различия. На втором
месте у юной интернет-аудитории Нижнего Новгорода — порно и
эротика (14,59%), в то время как в среднем по стране
«серебро» удерживают интернет-магазины (9,1%). На третьем
месте — нелегальный софт (10,86%), показатель в этой категории
почти в три раза выше общероссийского (3,4%). Посещения сайтов при
включенном «Родительском контроле» в г. Нижний Новгород.

Все «запретные» ресурсы в Интернете дети
«изучают» тогда, когда находятся без присмотра. Как
показывает статистика KSN, пик пребывания юных пользователей в Сети
приходится на временной промежуток между 15 и 18 часами, когда занятия в
школе уже закончились, а родители еще не вернулись с работы. Коварство
социальных сетей, где чаще всего срабатывает «Родительский
контроль», заключается в том, что они содержат в себе весь опасный
контент, который есть в Интернете, а, кроме того, представляют для
ребенка дополнительную опасность в виде мошенничества от лица
«друзей», общения с незнакомцами и потенциальных пересечений
с преступниками.

«Лично контролировать детей в течение всего дня, конечно,
невозможно, да этого и не требуется. Гораздо эффективнее со стороны
родителей будет объяснить детям правила осторожного поведения в Сети. Ну
а в качестве дополнительной страховки всегда можно использовать функции
родительского контроля в защитном ПО, — рассказывает Сергей
Новиков, руководитель российского исследовательского центра
«Лаборатории Касперского». — «Родительский
контроль» позволяет тактично оградить детей от нежелательного
контента, не закрывая в то же время Интернет как таковой. В частности,
эта функция дает возможность ограничить доступ к конкретным сайтам и
программам, установить время, которое ребенок может проводить за
компьютером в течение дня. Кроме того, «Родительский
контроль» позволяет отслеживать активность маленьких пользователей
в Сети. Таким образом, взрослые всегда будут знать, какие сайты посещал
их ребенок, с кем он общался в Skype и Facebook, какие данные отправлял,
какую информацию скачивал. При использовании такой защиты есть только
один способ расстановки запятых во фразе «Контролировать нельзя
запретить».

Модуль «Родительский контроль» с полным набором функций для
защиты детей при работе за компьютером и во время пребывания в Интернете
доступен в следующих продуктах «Лаборатории Касперского»:
KasperskyInternetSecurity (http://www.kaspersky.ru/internet-security),
KasperskyCRYSTAL (http://www.kaspersky.ru/crystal), KasperskySecurity
для Mac (http://www.kaspersky.ru/security-mac). Кроме того, специально
для мобильных платформ компания выпустила бесплатные версии приложений
«Родительский контроль» (SafeBrowser) для iOS
(https://itunes.apple.com/ru/app/kaspersky-parental-control/id505542689?mt=8)
и «Родительский контроль» для Android
(https://play.google.com/store/apps/details?id=com.kaspersky.pctrl). Их
можно скачать в официальных магазинах приложений для соответствующих
платформ.

* Исследование пользователей Интернета проведено независимой
исследовательской компанией «O+K» специально для
«Лаборатории Касперского» в 2012 году. В ходе исследования
было опрошено более 11 тысяч пользователей в возрасте 16+, проживающих в
странах Латинской и Северной Америки, Европы, Ближнего Востока, Азии и
Африки.

** Статистика облачного сервиса Kaspersky Security Network (KSN).
Посещения сайтов при включенном модуле «Родительский
контроль». Усредненный показатель по г. Нижний Новгород за пять
месяцев по количеству индивидуальных заходов (январь — май 2013г).

*****

2. Как подписаться на новостные блоки и отписаться от них

Если вы хотите подписаться на другие новостные блоки «Лаборатории
Касперского» или отменить подписку на данный новостной блок, то вам
необходимо посетить сайт компании по следующему адресу:
http://www.kaspersky.ru/subscribe

3. Правила безопасности

Для предотвращения попыток рассылки фальшивых писем, маскирующихся
под новости «Лаборатории Касперского», сообщаем, что оригинальные
сообщения поставляются исключительно в формате plain text и никогда не
содержат вложенных файлов. Если вы получили письмо, не
удовлетворяющее этим условиям, пожалуйста, ни в коем случае не
открывайте его и перешлите в антивирусную лабораторию компании (newvirus@kaspersky.com) на экспертизу.

В случае возникновения трудностей с получением новостей
вы можете связаться с нами по адресу webmaster@kaspersky.com.

Для получения консультации по вопросам технической поддержки продуктов «Лаборатории Касперского» воспользуйтесь, пожалуйста, веб-формой http://www.kaspersky.ru/helpdesk.html . Перед отправкой запроса в службу техподдержки рекомендуем просмотреть наши ответы на часто задаваемые вопросы в Базе знаний: http://support.kaspersky.ru/ .

****

Служба новостей «Лаборатории Касперского»

13 февраля 2013 года

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — предупреждает о новой модели сетевого мошенничества, которая стала особенно популярной с конца 2012 года. Представляясь иностранцами с русскими корнями, мошенники ищут на сайтах знакомств одиноких женщин, которым в процессе общения предлагают отправить по почте дорогой подарок (планшет, смартфон или ювелирное украшение). Для этого мошенник предлагает воспользоваться услугами частной курьерской службы, за которой скрывается подставной сайт, где жертва и теряет деньги, оплатив доставку столь ценного подарка.

Эта схема, успешно применяемая сетевыми мошенниками вот уже более года, в последнее время все больше набирает популярность, судя по росту числа пострадавших. Для реализации своего преступного замысла злоумышленники регистрируются на различных сайтах знакомств и выбирают себе потенциальную жертву из числа одиноких женщин. Как правило, мошенники представляются эмигрантами либо иностранцами с русскими корнями — именно этим они объясняют хороший уровень владения русским языком. Завоевав доверие жертвы в процессе переписки, злоумышленник сообщает ей, что намерен отправить своей «избраннице» какой-либо дорогой подарок: электронный планшет, смартфон или ювелирное украшение. Однако поскольку презент представляет большую ценность, отправитель не рискует отсылать отправление обычной почтой, вместо этого он предпочитает воспользоваться услугами частной курьерской службы.

Через некоторое время потенциальной жертве приходит электронное сообщение со ссылкой на сайт транспортной компании, также содержащее логин и пароль для доступа в «личный кабинет». После успешной авторизации пользовательнице демонстрируется веб-страница с номером почтового отправления, указанием его веса и имени получателя. Однако в этот момент выясняется пикантная подробность: отправитель не оплатил стоимость доставки посылки до получателя. Эту сумму, составляющую обычно от нескольких сотен рублей до нескольких сотен долларов, злоумышленники и предлагают выплатить жертве. Вполне естественно, что вскоре после оплаты «курьерская служба», как и сам щедрый поклонник, исчезают в неизвестном направлении.

screen

screen

Существует и более изощренный вариант аналогичного мошенничества. Злоумышленник представляется американским офицером, служащим в одной из «горячих точек» — например, в Афганистане или Сирии. Нередко киберпреступники используют в своих целях имена и фотографии настоящих военнослужащих армии США, взятые из открытых источников, как правило, социальных сетей. После непродолжительного периода романтического общения — переписки и даже телефонных звонков — «горячий поклонник» сообщает своей избраннице, что вскоре ему предстоит отпуск или через некоторое время подходит срок окончания контракта, поэтому он готов встретиться с ней. Еще одна приятная новость: в ходе военных действий этот офицер сумел раздобыть те или иные материальные ценности, например, ювелирные украшения, антиквариат, драгоценности, и готов переправить их своей возлюбленной. Ценности он планирует отослать дипломатической почтой, которая, как известно, не подлежит таможенному декларированию и досмотру, или через знакомого — сотрудника одной из международных организаций. Только вот для того, чтобы вывезти эти богатства из страны, нужно заплатить посреднику. Совсем немного: тысячу-другую долларов. В качестве альтернативного сценария аферисты нередко используют такой прием: отправление якобы задержали на таможне в какой-то далекой стране, и чтобы оно достигло адресата, нужно заплатить некую сумму в качестве «взятки».

Киберпреступники, промышляющие подобными аферами на сайтах знакомств, называются «скамерами», и описанные выше ситуации являются весьма распространенными способами мошенничества «на доверии». Специалисты компании «Доктор Веб» призывают пользователей относиться к виртуальным знакомым с определенной долей осторожности и ни в коем случае не оплачивать услуги по доставке каких-либо подарков или посылок. Если вы в силу обстоятельств стали жертвой сетевых аферистов, обязательно напишите заявление о факте мошенничества в территориальный отдел полиции.

ИСТОЧНИК

19 декабря 2012 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает о распространении нового представителя семейства вредоносных программ Trojan.BrowseBan. Этот троянец блокирует доступ на некоторые веб-сайты, мошенническим путем вынуждая пользователя оформить платную подписку на различные услуги.

При запуске троянец Trojan.BrowseBan.480 проверяет, какие браузеры установлены на компьютере пользователя, а затем сохраняет на диск модули, в которых реализован его вредоносный функционал. Для браузера Microsoft Internet Explorer модуль реализован в виде файла динамической библиотеки, для Mozilla Firefox, Opera и Google Chrome — специального плагина, для функционирования которого троянец изменяет пользовательские настройки программы.

В результате, при попытке открытия определенных сайтов в окне браузера троянец модифицирует отображаемую веб-страницу, и на экране компьютера демонстрируется окно, в котором пользователю предлагается ввести номер мобильного телефона, а затем — код, полученный в ответном СМС-сообщении. Таким образом, жертва соглашается с условиями подписки, согласно которым со счета ее мобильного телефона регулярно будет списываться определенная сумма.

screen

С недавних пор операторы «большой тройки» при подключении абонента к платным сервисам стали использовать специальные веб-страницы с информацией об условиях предоставляемых услуг и их стоимости. Поэтому для осуществления подписки Trojan.BrowseBan.480 использует официальные сервисы мобильных операторов «МТС» (moipodpiski.ssl.mts.ru) и «Билайн» (signup.beeline.ru), однако вредоносный скрипт скрывает «лишнюю» информацию, вследствие чего жертва видит лишь диалоговое окно, содержащее форму для ввода номера мобильного телефона. Например, вот так должна выглядеть страница оформления подписки, демонстрируемая оператором мобильной связи:

screen

А вот что видит пользователь компьютера, инфицированного Trojan.BrowseBan.480:

screen

Причем злоумышленники не поленились разработать уникальный дизайн окна для различных сайтов, которые может посетить жертва: среди них — страницы социальных сетей «ВКонтакте», «Одноклассники», «Мой мир», Facebook, популярные поисковые системы, почтовые службы «Яндекс.Почта», Gmail, Mail.ru, а также другие популярные ресурсы. Подписку осуществляет контент-провайдер ООО «Пластик Медиа», а оплата взимается якобы за доступ к службе анонимайзера http://4anonimz.ru, однако в силу того, что троянец скрывает подробную информацию о подписке, жертва об этом даже не догадывается.

Пользователям продуктов Dr.Web этот троянец не угрожает — соответствующая сигнатура уже добавлена в вирусные базы.

ИСТОЧНИК

Аналитики «Лаборатории Касперского» спустя чуть более
полугода зафиксировали новое массовое целенаправленное заражение крупных
информационных ресурсов Рунета. Сайты сразу нескольких популярных
российских СМИ содержали вредоносный код, перенаправлявший пользователей
на домен с эксплойтами с целью последующей кражи их конфиденциальных
данных. По информации «Лаборатории Касперского», за каждые
сутки таких атак риску заражения подвергались около 1500 пользователей.

Взломанные информационные ресурсы были обнаружены в конце октября 2012
года. Злоумышленники планомерно заражали одни и те же сайты на
непродолжительное время — от 30 до 90 минут в середине дня —
с целью как можно дольше оставаться незамеченными для администраторов
веб-порталов. В процессе этих атак на компьютер пользователя
устанавливался давно знакомый в мире киберугроз бот Lurk, который на
этот раз был запрограммирован на кражу паролей от FTP-серверов. Зловред
воровал пароли, сохраненные пользователями в программах, работающих с
FTP-серверами.

«Мы уже не в первый раз встречаемся с таргетированными заражениями
крупных интернет-ресурсов. Подобные атаки — это удобный способ
получить большое количество потенциальных жертв заражения. Объединяет
все эти целенаправленные атаки то, что при их проведении злоумышленники
проявляют настоящие чудеса маскировки, умудряясь не привлекать внимание
веб-администраторов на протяжении долгого времени. Защитить от подобных
атак может только надёжный антивирус», — отметил Вячеслав
Закоржевский, антивирусный эксперт «Лаборатории
Касперского».

В настоящее время администраторы пострадавших веб-ресурсов,
проинформированные о заражении, приняли соответствующие меры. Детали
этой волны целенаправленных атак на сайты СМИ можно прочитать в
блогпосте, подготовленном экспертами «Лаборатории
Касперского», на сайте www.securelist.com/ru.

Массовое заражение веб-сайтов является одной из самых больших проблем в современной IT-безопасности. О том, насколько велика эта проблема, можно судить, например, по числу запросов в наш отдел технической поддержи, касающихся предупреждений о вредоносных веб-сайтах. Владельцы веб-сайтов обычно жалуются на то, что наш продукт ошибочно блокирует доступ к их порталу, и это, очевидно, ложное срабатывание, поскольку они не размещают никакого вредоносного контента. К сожалению, в большинстве случаев они не правы: на их сайтах действительно можно найти вредоносные скрипты, внедренные киберпреступниками в PHP-, JS- или HTML-код. Эти скрипты обычно перенаправляют пользователей на вредоносные URL-ссылки, с которых загружаются вредоносные программы и исполняются на компьютере пользователя. В большинстве случаев процесс исполнения вредоносного кода абсолютно невидим пользователю: ему кажется, что веб-сайт работает как обычно. Вредоносный код незаметно укрепляется на атакуемом компьютере, используя уязвимости в установленном ПО (Java, Flash, программах просмотра PDF-файлов, плагинах к браузерам и т.д.). Этот метод называется drive-by загрузка и подробно описывался на Securelist.

В настоящей статье мы хотим сфокусировать внимание читателя на том, что может помочь администраторам веб-сайтов распознать вредоносное ПО и удалить его с веб-сайтов.

  • Что происходит? Симптомы заражения вредоносным ПО
  • Что искать? Примеры вредоносного кода
  • Как это случилось? Направления и методы атак
  • Для чего это делается? Цели киберпреступников
  • Как справиться с заражением веб-сайта? Методы удаления
  • Как предотвратить заражение веб-сайта? Основы безопасности при администрировании веб-ресурса

Симптомы заражения

Как узнать, что ваш веб-сайт оказался заражён? Наиболее очевидные симптомы таковы:

  • пользователи жалуются на то, что веб-сайт блокируется браузером и/или антивирусными программами
  • веб-сайт внесён в чёрный список Google или в другую базу вредоносных URL-адресов
  • произошли серьёзные изменения в объёме трафика и/или в рейтингах поисковых систем
  • веб-сайт не работает как следует, выдаёт ошибки и предупреждения
  • после посещения веб-сайта компьютер ведёт себя странно.

Зачастую вредоносный код остаётся незамеченным в течение долгого времени, особенно в случае заражения очень сложными зловредами. Такое вредоносное ПО обычно сильно обфусцировано, чтобы ввести в заблуждение и администраторов веб-сайтов, и антивирусные программы; оно всё время меняет доменные имена, на которые перенаправляет пользователей, обходя таким образом чёрные списки. Если нет ни одного из приведенных симптомов, это хороший показатель чистоты вашего сервера, хотя, увы, не 100%-ный; поэтому, оставайтесь бдительными к любой подозрительной активности.

Самым очевидным признаком заражения любым вредоносным ПО является присутствие вредоносного/подозрительного кода в одном или нескольких файлах — преимущественно в формате HTML, PHP или JS, а с некоторых пор и ASP/ASPX. Этот код найти нелегко, требуется владение по меньшей мере основами программирования и разработки веб-сайтов. Для того чтобы читатель лучше понял, как выглядит вредоносный код, мы приводим несколько примеров самого обычного заражения веб-страниц.

Пример 1: простая переадресация

Самым старым и самым простым методом, используемым киберпреступниками, является добавление простого HTML iframe-тега в код HTML-файлов на сервере. Адрес, используемый для загрузки вредоносного веб-сайта в IFrame, указан в качестве атрибута SRC; атрибут VISIBILITY со значением “hidden” делает фрейм невидимым для пользователя, посещающего веб-сайт.

 
Рисунок 1: Вредоносный IFrame внутри HTML-кода веб-сайта

Другой метод выполнения вредоносного скрипта в браузере пользователя — это внедрение ссылки на этот скрипт в HTML-файл в качестве атрибута src в тегах script или img:

 
Рисунок 2: Примеры вредоносных ссылок

Последнее время все чаще встречаются случаи, когда вредоносный код динамически генерируется и внедряется в HTML-код вредоносными JS- или PHP-скриптами. В таких случаях код видим только в представлении исходного кода страницы из браузера, но не в физических файлах на сервере. Киберпреступники могут дополнительно определять условия, когда вредоносный код должен генерироваться: например, только когда пользователь перешёл на сайт с определённых поисковых систем или открыл веб-сайт в конкретном браузере.

Чтобы обмануть и владельца веб-сайта, и антивирусное ПО, а также затруднить анализ вредоносного кода, киберпреступники используют разнообразные методы обфускации кода.

Пример 2: «Ошибка 404: страница не найдена»

В этом примере вредоносный код внедряется в шаблон сообщения, которое выводится, когда указанный объект не был найден на сервере (всем известная «ошибка 404»). Кроме того, в файлы index.html / index.php внедряется ссылка на какой-либо несуществующий элемент, чтобы незаметно вызывать эту ошибку при каждом посещении пользователем заражённой веб-страницы. Этот метод может спровоцировать некоторую неразбериху: человек, ответственный за веб-сайт, получает сообщение, что некое антивирусное решение пометило веб-сайт как заражённый; после поверхностной проверки оказывается, что вредоносный код был найден в объекте, которого по всей видимости не существует; это приводит к соблазну предположить (ошибочно), что это была ложная тревога.

 
Рисунок 3. Trojan.JS.Iframe.zs — вредоносный скрипт в шаблоне сообщения об ошибке 404

В этом конкретном случае вредоносный код был обфусцирован. После деобфускации можем видеть, что целью скрипта является внедрение тэга IFRAME, который будет использован для перенаправления пользователей на вредоносный URL-адрес.

 
Рисунок 4. Trojan.JS.Iframe.zs — вредоносный код после деобфускации

Пример 3: выборочное внедрение вредоносного кода

Аналогичный код может генерироваться и присоединяться динамически (т.е. в зависимости от конкретных условий) ко всем HTML-файлам, расположенным на сервере, используя вредоносный PHP-скрипт, загруженный на тот же сервер. Скрипт, показанный в следующем примере, проверяет параметр UserAgent (который отсылается браузером пользователя, а также поисковыми ботами) и не добавляет вредоносный код, если веб-сайт сканируется ботом или если посетители сайта пользуются браузерами Opera, Chrome или Safari. Таким образом, пользователи браузеров, неуязвимых к конкретному эксплойту, используемому для атаки, не будут перенаправляться на этот эксплойт. Также стоит заметить, что комментарии в коде намеренно вводят в заблуждение, наводя на мысль о том, что данный скрипт имеет какое-то отношение к статистике бота.

 
Рисунок 5. Trojan.PHP.Iframer.e — код, заражающий PHP-скрипт

Этот метод может также использоваться в обратном направлении: киберпреступники могут внедрять ссылки, ведущие к нелегальному, сомнительному или вредоносному контенту (спаму, шпионскому ПО, пиратскому ПО, фишинговым ресурсам) только если на веб-сайт зашёл поисковый бот. Целью такой атаки является так называемая чёрная оптимизация — механизм поднятия позиции киберкриминального ресурса в поисковой выдаче. Такое вредоносное ПО обычно направлено на популярные веб-порталы с высоким рейтингом, и его довольно сложно обнаружить, поскольку вредоносный код никогда не показывается обычному пользователю. В результате вредоносные веб-сайты получают высокий рейтинг в поисковых системах и оказываются в верхних строчках поисковой выдачи.

Пример 4: хитрая обфускация

Заражающие PHP-скрипты могут также принимать другие формы. Ниже даются два примера, обнаруженные и описанные в нашем блоге несколько месяцев назад (здесь и здесь).

 
Рисунок 6. Trojan-Downloader.PHP.KScript.a —заражающий PHP-скрипт

 
Рисунок 7. Trojan.PHP.Injector.c — заражающий PHP-скрипт

Первый из этих примеров (Trojan-Downloader.PHP.JScript.a) внедряет вредоносный JavaScript в код HTML-файлов сразу за одним из определённых закрывающих тэгов (например, script, div, table, form, p, body). Содержимое внедряемого скрипта написано далеко не простым кодом — оно представлено в виде чисел и хранится в двух массивах — $tr и $tc. Деобфускация выполняется «на лету». Код, генерируемый таким образом, также обфусцирован, но другим способом:

 
Рисунок 8. Trojan.JS.Redirector.px — вредоносный JavaScript, внедрённый в HTML-файл

На первый взгляд можно подумать, что этот скрипт имеет какое-то отношение к цветам, отображаемом на веб-сайте. К сожалению, это впечатление полностью ошибочно — скрипт конвертирует значения, которые хранятся в массиве div_colors, в символы ASCII и затем собирает вредоносный URL-адрес, который дописывается в HTML-файл при помощи функций document.write() или document.createElement().

Второй PHP-скрипт (Trojan.PHP.Injecter.c) написан ещё более хитро: во вредоносном URL-адресе использованы «невидимые» символы — пробелы и знаки табуляции. Если принять пробел за ноль, а знак табуляции — за единицу, получим двоичный код; каждый 8-битный кусочек этого кода — это числовое представление ASCII-символа.

Пример 5: заражённые JavaScript

Рассмотренные выше вредоносные заражающие PHP-скрипты были загружены киберпреступниками на сервер с использованием уязвимостей в системах управления контентом (CMS) или краденых данных для доступа к FTP-серверу. Другой метод — заражение легитимных JS-файлов, уже существующих на сервере. Из всего многообразия примеров следует упомянуть по крайней мере три разных сценария, которые были широко распространены последние несколько месяцев.

В первом случае производится динамическое внедрение следующего кода в HTML-файлы:

 
Рисунок 9. Trojan.JS.Iframe.zs — вредоносный Iframe, динамически внедряемый в HTML

Скрипт, отвечающий за добавление этого кода, помещается в один или несколько JS-файлов на сервере:

 
Рисунок 10. Trojan.JS.Iframe.zs — скрипт, внедряющий Iframe — после деобфускации

В следующем случае для обфускации используется шестнадцатеричное представление ASCII-символов. Все JS-файлы на сервере заражены аналогичным кодом:

 
Рис 11. Trojan-Downloader.JS.Agent.gnm — вредоносный код, внедренный в JS-файлы

При другом популярном сценарии наряду со стандартными методами обфускации в код включены комментарии на латыни — видимо, для того, чтобы скрипт выглядел для администратора легитимным и вызывающим доверие. Тем не менее, эти комментарии являют собой всего лишь случайные фрагменты из известного классического текста Lorem Ipsum.

 
Рис 12. Trojan-Downloader.JS.Twetti.t — вредоносный код, внедряемый в JS-файлы

Наконец, известен случай массового заражения зловредом, при котором используются случайные доменные имена. В случае заражения этим зловредом вы можете обнаружить на своём веб-сайте следующий код:

 
Рис 13. Обфусцированная версия кода, который перенаправляет на сгенерированный случайным образом домен

Пример 6: «gootkit» и обфускация файла целиком

Обфусцированный вредоносный код легко обнаружить среди остального чистого кода, и поэтому недавно киберпреступникам в голову пришла идея обфусцировать содержимое файла целиком, делая таким образом нечитабельным как внедренный, так и легитимный код. Отделить легитимный код от вредоносного невозможно, и вылечить файл можно только после его дешифровки.

 
Рис. 14. Файл, обфусцированный зловредом “gootkit”

Избавиться от первого уровня обфускации несложно, для этого нужно просто поменять функцию eval() на alert() — или print() в случае с консолью — и запустить ее на исполнение. Второй уровень несколько сложнее: в данном случае доменное имя используется в качестве ключа для шифрования кода.

 
Рис. 15: «gootkit» — второй уровень обфускации

После дешифровки можно видеть вредоносный код, идущий за оригинальным содержимым файла:

 
Рис. 16: «gootkit» — деобфусцированный код

Иногда вредоносная часть оказывается второй версией вредоносных программ, о которых шла речь в предыдущем примере, и используется для генерации псевдослучайного доменного имени для переадресации.

Пример 7: .htaccess

Вместо заражения скриптов и HTML-кода киберпреступники могут использовать возможности некоторых файлов, например .htaccess. В таких файлах администратор может определять права доступа к определенным папкам на сервере, а также при определенных обстоятельствах перенаправлять пользователей на другие URL-адреса (например, в случае если пользователь заходит с браузера мобильного устройства, он перенаправляется на мобильную версию веб-сайта). Нетрудно догадаться, каким образом киберпреступники используют подобный функционал…

 
Рис17: вредоносный .htaccess

В приведенном выше примере все пользователи, оказавшиеся на этом веб-сайте, пройдя по ссылке в большинстве крупных поисковых систем (параметр HTTP_REFERER), перенаправляются на вредоносную URL-ссылку. Помимо этого, в этом файле .htaccess определено достаточно большое количество браузеров и ботов, для которых перенаправление не производится (параметр HTTP_USER_AGENT). Перенаправление не происходит также в случае, если веб-страница читается из кеша (referer == cache) или загружается повторно с того же компьютера (параметр cookie).

Подобные зловреды позволяют проводить и более избирательные заражения — например, могут быть исключены конкретные IP-адреса, и при просмотре веб-сайтов из определенного диапазона IP-адресов — например, принадлежащих компании по информационной безопасности — выдача вредоносных результатов отсутствует.

Векторы атак и технологии заражения

Независимо от используемых технологий, киберпреступникам необходимо найти способ доставки вредоносных файлов на сервер или модификации файлов, уже существующих на сервере. Наиболее примитивным методом получения доступа к серверу является взлом пароля доступа. Для этого киберпреступники могут использовать так называемую атаку методом перебора или ее ограниченную версию — атаку «перебора по словарю» (словарную атаку). Такая тактика обычно требует большого количества времени и ресурсов, поэтому редко используется при массовых заражениях веб-сайтов. Среди более популярных сценариев — эксплуатация уязвимостей и вредоносное ПО для кражи паролей.

Использование уязвимостей системы управления контентом/ системы электронной коммерции

Большинство современных платформ управления веб-контентом (такие как система управления контентом (CMS), электронная коммерция, панели управления и т.д.) неидеальны и имеют уязвимости, позволяющие другим лицам без аутентификации загружать файлы на сервер. И хотя поиск таких уязвимостей разработчики ведут постоянно, выпуск патчей занимает большое количество времени; помимо этого, многие пользователи продолжают использовать старые версии программ с большим количеством ошибок. Чаще всего уязвимости находят, естественно, в самых популярных платформах, таких как WordPress, Joomla и osCommerce.

Известный пример такой уязвимости — TimThumb, которая широко использовалась киберпреступниками в разнообразных сценариях drive-by загрузки. TimThumb — PHP-модуль для изменения размера изображений и создания так называемых графических миниатюр, включенный в большинство CMS-шаблонов, находящихся в открытом доступе. Уязвимость позволяет записывать файлы, находящиеся на удаленной машине, на сервер, в директорию для кеша. Еще один пример — уязвимость SQL injection в Plesk Panel (версии 10 и старше), обнаруженная в феврале 2012 года, позволяющая читать базы данных и красть пароли, которые — до недавнего времени — хранились в явном виде. Полученные таким образом регистрационные данные, вероятно, использовались при недавней массовой веб-эпидемии http://www.securelist.com/en/blog/208193624/Who_is_attacking_me; https://www.securelist.com/ru/blog/208193713/RunForestRun_gootkit_i_generirovanie_sluchaynykh_domennykh_imen.

Использование шпионского ПО для кражи учетных данных для доступа к серверу по FTP

В наиболее распространенных веб-заражениях (например, Gumblar и Pegel) успешным оказался другой метод. На первом этапе киберпреступники распространяют вредоносные программы, разработанные специально для поиска и кражи имен пользователей и паролей к FTP-аккаунтам посредством проверки настроек FTP-клиентов или сканирования сетевого трафика. После нахождения зловредом этих регистрационных данных на зараженном компьютере администратора сайта программа устанавливает соединение с FTP-сервером и загружает вредоносные скрипты или записывает вместо оригинальных файлов их зараженные версии. Само собой разумеется, что до тех пор пока компьютер владельца аккаунта заражен, файлы, хранящиеся на сервере, будут снова и снова заражаться даже после смены регистрационных данных и восстановления всего контента из чистой резервной копии.

Цели киберпреступников

Какова цель заражения веб-сайтов?

  • переадресация пользователей на эксплойты для незаметной установки вредоносных программ на их компьютерах;
  • переадресация пользователей на спам, фишинговый и другой вредоносный, нелегальный или нежелательный контент;
  • перехват/кража посещений сайта / поисковых запросов.
  • продвижение вредоносных/нелегальных веб-сайтов и веб-сайтов, содержащих спам (черная оптимизация);
  • использование ресурсов сервера для нелегальной активности.

По сути здесь нет ничего нового: при заражении веб-сайтов киберпреступниками движет стремление получить непрямую прибыль.

Методы устранения вредоносного кода

Что делать, если ваш сайт атаковали хакеры?

Во-первых, если вы наблюдаете симптомы, которые говорят о возможном заражении, необходимо незамедлительно деактивировать веб-сайт до устранения проблемы. Это действительно исключительно важно, поскольку каждый момент промедления играет на руку киберпреступникам, позволяя заразить еще больше компьютеров и распространить заражение по всему интернету. Следует проверить журналы сервера на наличие подозрительной активности, например странные запросы с IP-адресов, находящихся в странах, нехарактерных для посетителей сайта, и т.п. — это может быть полезно для обнаружения зараженных файлов и определения, как именно киберпреступники получили доступ к серверу.

Но каким же образом бороться с вредоносным кодом?

Резервная копия

Самый быстрый и надежный способ восстановления всего содержимого сервера — с использованием чистой резервной копии. Чтобы сделать это эффективно, необходимо также произвести полную переустановку ПО, работающего на сервере (системы управления контентом / CMF, системы электронной коммерции и т.п.). Разумеется, для этого необходимо использовать самые последние, полностью обновленные версии. После этих действий на сервере не должно остаться никаких зараженных файлов — при условии, что вы стерли все содержимое перед восстановлением, а резервная копия была создана еще до начала атаки.

Автоматическая проверка

Если чистая резервная копия отсутствует, вам ничего не остается как начать бороться с вредоносным ПО. К счастью, существует ряд автоматизированных решений, которые помогут отыскать вредоносный код — включая антивирусные продукты и онлайн-сканеры веб-сайтов, например http://sucuri.net/. Ни одно из них не является идеальным, но в случае с хорошо известным/обычным вредоносным ПО все они могут быть весьма полезными. Начнем с того, что можно проверить веб-сайт при помощи нескольких онлайн-сканеров. Некоторые из них не только определят, действительно ли ваш сайт заражен, но и укажут на вредоносный код в ваших файлах. Затем можно произвести полную антивирусную проверку всех файлов на сервере.

Если вы владелец сервера или если на сервере работает защитное решение, на использование которого у вас есть права, вы можете выполнить проверку на стороне сервера. Убедитесь в том, что вы создали копию ваших файлов, так как некоторые антивирусные сканеры не лечат зараженные файлы, а удаляют их! Можно также загрузить содержимое вашего сервера на локальный компьютер и осуществить его проверку при помощи антивирусного решения для стационарного компьютера. Второй вариант предпочтительней, поскольку в составе большинства современных антивирусных программ для стационарных компьютеров есть хорошо развитый эвристический модуль. Вредоносные программы, поражающие веб-сайты, в высшей степени полиморфны: и если при борьбе с ним сигнатурный анализ практически бесполезен, эвристика позволяет их с легкостью детектировать.

Удаление вручную

Если автоматическая проверка не дала результатов и сообщения о заражении вашего сайта поступают по-прежнему, единственный способ избавиться от зловреда — найти его вручную и удалить весь вредоносный код. Эта непростая задача может занять значительное количество времени, поскольку необходимо проверить каждый файл — будь то HTML, JS, PHP или файл конфигурации — на наличие вредоносных скриптов. Примеры, приведенные выше, — всего лишь небольшая часть разнообразных зловредов для веб-сайтов, поэтому высока вероятность того, что вредоносный код на вашем сайте будет частично или полностью отличаться от этих образцов. И тем не менее большинство современных вредоносных программ для веб-сайтов имеют некоторые общие черты, и эти черты помогут в определении проблемы.

Более всего необходимо уделить внимание тем частям кода, которые выглядят неясными или нечитаемыми. Обфускация кода — технология, часто используемая вирусописателями, — довольно необычна для любого другого ПО, связанного с веб-сайтами. Если вы не обфусцировали код сами, у вас есть все основания иметь относительно него подозрения. Но будьте аккуратны — вредоносным окажется не весь обфусцированный код!

Аналогичным образом, не любой вредоносный скрипт обфусцирован, поэтому имеет смысл искать теги IFRAME в явном виде и другие ссылки на внешние ресурсы во всех ваших файлах. Некоторые из них могут иметь отношение к рекламным объявлениям и статистике, но не попадитесь на удочку специально сформированных URL, которые могут сбивать с толку, имея вид адресов известных и доверенных порталов. Не забывайте проверять код шаблонных сообщений об ошибках, а также все файлы .htaccess.

Полезными инструментами для поиска вредоносного кода на сервере, несомненно, являются grep и find — утилиты, работающие в режиме командной строки, по умолчанию включаемые практически во все системы на основе Unix. Ниже приведены примеры их использования в диагностике наиболее распространенных заражений:

grep -iRs “iframe” *
grep -iRs “eval” *
grep -iRs “unescape” *
grep -iRs “base64_decode” *
grep -iRs “var div_colors” *
grep -iRs “var _0x” *
grep -iRs “CoreLibrariesHandler” *
grep -iRs “pingnow” *
grep -iRs “serchbot” *
grep -iRs “km0ae9gr6m” *
grep -iRs “c3284d” *
find . -iname “upd.php”
find . -iname “*timthumb*”

Описание grep (из руководства Linux): печать строк, соответствующих шаблону; опция -i означает игнорировать регистр; -R означает рекурсивный поиск, а -s предотвращает показ сообщений об ошибках. Первая из перечисленных команд ищет в файлах тэги IFRAME; три остальные ищут наиболее явные признаки обфускации; остальные ищут особые строки, связанные с крупнейшими известными заражениями веб-сайтов.

Что касается find, в руководстве Linux указано: поиск файлов в иерархической структуре папок; «.» (точка) указывает на текущую директорию (так что запускать данные команды следует из корневой директории или домашнего (home) каталога на сервере), параметр -iname определяет файл, который следует искать. Можно использовать регулярные выражения для поиска всех файлов, соответствующих неким критериям.

Разумеется, всегда нужно знать, что именно искать — не все результаты будут указывать на заражение. Неплохо проверить подозрительные части кода антивирусным сканером или попробовать поискать их в google. Очень вероятно, что вы найдете некоторые ответы — как для вредоносного, так и для чистого кода. Если вы по-прежнему не уверены, заражен ли файл, лучше всего деактивировать веб-сайт (на всякий случай) и до принятия каких-либо действий обратиться за советом к специалисту.

Очень важно!

Помимо очистки файлов на сервере необходимо обязательно произвести полную антивирусную проверку всех компьютеров, используемых для загрузки и управления контентом на сервере и сменить все данные для доступа ко всем аккаунтам на сервере(FTP, SSH, панели управления и т.д.), которые вы поддерживаете.

Основы безопасности для веб-сайтов

К сожалению, в большинстве случаев удаления вредоносного кода недостаточно для того, чтобы избавиться от заражения раз и навсегда. Если ваш веб-сайт заражен, возможно, это говорит о существовании уязвимостей, которые позволили киберпреступникам внедрить вредоносные скрипты на сервер; и если вы оставите без внимания эту проблему, в ближайшем будущем вас ждут новые заражения. Чтобы это предотвратить, необходимо принять соответствующие меры для защиты сервера и компьютера/компьютеров, используемых для администрирования сервера.

  • Использование стойких паролей. Несмотря на тривиальность этого совета, это действительно основа безопасности сервера. Необходимо не только менять пароли после каждого инцидента и/или атаки на сервер — они должны меняться на регулярной основе, например ежемесячно. Хороший пароль должен соответствовать особым критериям, о которых можно узнать на нашем веб-сайте www.kaspersky.com/passwords;
  • Регулярное обновление. Необходимо также не забывать о регулярных обновлениях. Киберпреступники часто эксплуатируют уязвимости в ПО независимо от цели вредоносной программы — направлена ли она на пользователей ПК или на веб-сайты. Все программы, с помощью которых вы управляете вашим сервером / контентом сайта, должны быть самых последних версий, а каждое обновление безопасности должно устанавливаться сразу же по его выходе. Использование актуальных версий ПО и своевременная установка всех необходимых патчей поможет снизить риск атаки с использованием эксплойтов. Регулярно обновляемый список известных уязвимостей можно найти на сайте http://cve.mitre.org/;
  • Регулярное создание резервных копий. Имея в запасе чистую копию серверного контента, вы сэкономите массу времени и усилий, не говоря о том, что свежие резервные копии могут, помимо лечения заражения, оказаться очень полезны и в решении других проблем;
  • Регулярная проверка файлов. Даже при отсутствии явных симптомов заражения рекомендуется периодическое сканирование всех файлов на сервере на предмет выявления вредоносного кода;
  • Обеспечение безопасности ПК. Поскольку значительное количество вредоносного ПО для веб-сайтов распространяется через заражённые ПК, безопасность стационарного компьютера, используемого для управления вашим веб-сайтом, является одним из приоритетных аспектов безопасности веб-сайта. Непрерывная поддержка чистоты и безопасности вашего компьютера существенно увеличивает вероятность того, что ваш веб-сайт также будет в безопасности и защищен от вирусов.
  • Обязательными (но не достаточными) должны быть следующие действия:
    • удаление неиспользуемых программ;
    • деактивация ненужных сервисов и модулей;
    • настройка соответствующих политик для отдельных пользователей и групп пользователей;
    • установка адекватных прав доступа к определенным файлам и директориям;
    • отключение показа файлов и каталогов веб-сервера;
    • ведение журналов событий, регулярно проверяемых на наличие подозрительной активности;
    • использование шифрования и безопасных протоколов.

Вредоносное ПО, предназначенное для заражения веб-сайтов, может стать настоящим кошмаром для веб-администраторов и интернет-пользователей. Киберпреступники непрерывно развивают свои технологии, открывая новые эксплойты. Зловреды стремительно распространяются через интернет, поражая серверы и рабочие станции. Справедливо сказать, что надежного способа полностью устранить данную угрозу не существует. Однако каждый владелец веб-сайта и каждый интернет-пользователь может сделать интернет безопаснее, соблюдая основные правила безопасности и постоянно поддерживая безопасность и чистоту своих веб-сайтов и компьютеров.

ИСТОЧНИК

«Лаборатория Касперского» и компания Seculert обнаружили очередного кибершпиона на Ближнем Востоке
17 июл 2012
******************************************************************

1. «Лаборатория Касперского» и компания Seculert обнаружили очередного кибершпиона на Ближнем Востоке
2. Как подписаться на новостные блоки и отписаться от них
3. Правила безопасности

******************************************************************

1. «Лаборатория Касперского» и компания Seculert обнаружили очередного кибершпиона на Ближнем Востоке

«Лаборатория Касперского» и компания Seculert
(http://www.seculert.com/) представили результаты исследования
(http://www.securelist.com/en/blog/208193677/The_Madi_Campaign_Part_I)
вредоносной программы Madi, предназначенной для совершения
целенаправленных атак на ряд пользователей в ближневосточном регионе с
целью кражи конфиденциальной информации. Для распространения троянца и
заражения компьютеров жертв использовались методы социальной
инженерии.

Эксперты «Лаборатории Касперского» и Seculert установили
контроль над серверами управления Madi за счет внедрения
sinkhole-маршрутизатора. Это позволило определить более 800 жертв,
находящихся в Иране, Израиле и ряде других стран мира, которые были
подключены к командным серверам злоумышленников в течение последних
восьми месяцев. Полученные данные позволили сделать вывод, что основной
целью атак были люди, имеющие отношение к разработке критически важных
инфраструктурных проектов Ирана и Израиля, израильским финансовым
организациям, студенты инженерных специальностей, а также различные
правительственные структуры, действующие на территории Ближнего
Востока.

Кроме того, в ходе детального исследования вредоносной программы было
выявлено большое количество «отвлекающих» религиозных и
политических документов и фотографий, которые были использованы в ходе
заражения компьютеров пользователей.

«Несмотря на то, что используемая вредоносная программа и
инфраструктура преступников были далеко не самыми сложными,
злоумышленникам удалось в течение достаточно продолжительного времени
вести наблюдение за жертвами, — прокомментировал результаты
исследования Николя Бруле (Nicolas Brulez), ведущий антивирусный эксперт
«Лаборатории Касперского». — Возможно, именно из-за
непрофессионализма организаторов их атаки долгое время оставались
необнаруженными».

«Стоит отметить, что в ходе нашего совместного с
«Лабораторией Касперского» расследования мы выявили
множество персидских «ниточек» как в самом троянце, так и в
системе управления им. Наличие подобной информации во вредоносном коде
— большая редкость. Нет никаких сомнений в том, что злоумышленники
владеют языком фарси на уровне носителей», — уверен Авиф
Рафф (Aviv Raff), технический директор компании Seculert.

Троянец Madi предоставляет злоумышленникам удаленный доступ к файлам,
расположенным на зараженных компьютерах, работающих под управлением ОС
Windows. Преступники получают возможность перехватывать электронную
почту и мгновенные сообщения, включать микрофон и делать аудио-записи
разговоров, следить за нажатием клавиш на клавиатуре, а также делать
скриншоты рабочего стола жертвы. По данным экспертов, объем данных,
переданных с компьютеров жертв, исчисляется
гигабайтами.

Среди приложений и Веб-сайтов, которые использовались для слежения за
жертвами, Gmail, Hotmail, Yahoo! Mail, ICQ, Skype, Google+ и Facebook.
Кроме того, для получения дополнительной информации были задействованы
ERP/CRM-системы, базы деловых контактов и системы управление финансовой
деятельностью.

В антивирусной базе «Лаборатории Касперского» различные
модификации троянца Madi, а также связанные с ним модули, в том числе
загрузочные, детектируются как Trojan.Win32.Madi.

Отчеты об исследовании доступны на сайтах:

«Лаборатории Касперского»  www.securelist.com/en/blog
(http://www.securelist.com/en/blog/208193677/The_Madi_Campaign_Part_I) и
компании Seculert blog.seculert.com (http://blog.seculert.com/).

*****

2. Как подписаться на новостные блоки и отписаться от них

Если вы хотите подписаться на другие новостные блоки «Лаборатории
Касперского» или отменить подписку на данный новостной блок, то вам
необходимо посетить сайт компании по следующему адресу:
http://www.kaspersky.ru/subscribe

3. Правила безопасности

Для предотвращения попыток рассылки фальшивых писем, маскирующихся
под новости «Лаборатории Касперского», сообщаем, что оригинальные
сообщения поставляются исключительно в формате plain text и никогда не
содержат вложенных файлов. Если вы получили письмо, не
удовлетворяющее этим условиям, пожалуйста, ни в коем случае не
открывайте его и перешлите в антивирусную лабораторию компании (newvirus@kaspersky.com) на экспертизу.

В случае возникновения трудностей с получением новостей
вы можете связаться с нами по адресу webmaster@kaspersky.com.

Для получения консультации по вопросам технической поддержки продуктов «Лаборатории Касперского» воспользуйтесь, пожалуйста, веб-формой http://www.kaspersky.ru/helpdesk.html . Перед отправкой запроса в службу техподдержки рекомендуем просмотреть наши ответы на часто задаваемые вопросы в Базе знаний: http://support.kaspersky.ru/ .

1. Очень злые птички: вредоносная реклама в ваших мобильниках
2. Как подписаться на новостные блоки и отписаться от них
3. Правила безопасности

******************************************************************

1. Очень злые птички: вредоносная реклама в ваших мобильниках

Вынужденное ожидание в общественном транспорте или в очереди многие
пытаются скоротать в компании своего смартфона — незамысловатые
игры неплохо убивают время. Однако эксперты «Лаборатории
Касперского» предупреждают: некоторые рекламные баннеры в
бесплатных играх ведут на поддельные копии страницы магазина Google
Play, где пользователь подвергается риску скачать вредоносные файлы.

Эксперт «Лаборатории Касперского» Юрий Наместников в своем
блоге рассказывает о том, что каждый третий блок рекламы в бесплатных
версиях Angry Birds для русскоязычных пользователей, который он открыл и
проанализировал, вел на вредоносный файл. Вредоносная реклама в Angry
Birds:Space Free

Пройдя по ссылке некоторых баннеров в Angry Birds, пользователь рискует
попасть на копию страницы магазина Google Play. Здесь под видом
легальных программ размещены SMS-троянцы, которые отправляют
дорогостоящие сообщения на короткие номера. Эти зловреды скачиваются на
телефон при нажатии кнопки «загрузить». Насторожить должен
тот факт, что поддельный магазин открывается прямо в браузере, а в
адресной строке видно, что этот сайт находится в зоне «.net»
или «.in». Других отличий нет — дизайн практически
идентичен официальной версии, а текст даже переведен на русский язык.
Поддельный магазин приложений Google Play

«Злоумышленники делаю все возможное, чтобы заманить пользователей
на сайты подложных магазинов, содержащие вредоносный код, —
комментирует Юрий Наместников, старший антивирусный эксперт
«Лаборатории Касперского». — «Лаборатория
Касперского» рекомендует владельцам мобильных устройств быть более
бдительными: не устанавливать приложений из не доверенных источников и
позаботиться о защите своего смартфона надежным антивирусным
решением».

2. Как подписаться на новостные блоки и отписаться от них

Если вы хотите подписаться на другие новостные блоки «Лаборатории
Касперского» или отменить подписку на данный новостной блок, то вам
необходимо посетить сайт компании по следующему адресу:
http://www.kaspersky.ru/subscribe

3. Правила безопасности

Для предотвращения попыток рассылки фальшивых писем, маскирующихся
под новости «Лаборатории Касперского», сообщаем, что оригинальные
сообщения поставляются исключительно в формате plain text и никогда не
содержат вложенных файлов. Если вы получили письмо, не
удовлетворяющее этим условиям, пожалуйста, ни в коем случае не
открывайте его и перешлите в антивирусную лабораторию компании (newvirus@kaspersky.com) на экспертизу.

В случае возникновения трудностей с получением новостей
вы можете связаться с нами по адресу webmaster@kaspersky.com.

Для получения консультации по вопросам технической поддержки продуктов «Лаборатории Касперского» воспользуйтесь, пожалуйста, веб-формой http://www.kaspersky.ru/helpdesk.html . Перед отправкой запроса в службу техподдержки рекомендуем просмотреть наши ответы на часто задаваемые вопросы в Базе знаний: http://support.kaspersky.ru/ .

Установленным приложениям и расширениям может требоваться доступ к данным. Также при обновлении уже имеющихся расширений и приложений может появляться диалоговое окно с предупреждением, что для них требуются дополнительные разрешения. Это сообщение не означает, что продукт выполняет какие-либо опасные операции, а только предупреждает о такой возможности.

Устанавливайте приложения или расширения, только если вы доверяете их разработчикам. Обращайте внимание на оценки и отзывы, чтобы определить, стоит ли им доверять.

Вот разрешения, которые могут быть запрошены расширениями и приложениями. Нажимайте на ссылки, чтобы прочитать дополнительную информацию.

Значок высокой опасности Высокая опасность

Все данные на компьютере и посещаемых веб-сайтах

Этот элемент содержит подключаемый модуль NPAPI.

Предупреждение. Подключаемые модули NPAPI могут выполнять практически любые операции в браузере и вне его. Например, они могут использовать веб-камеру или считывать ваши персональные файлы.

Значок средней опасности Средняя опасность

Ваши данные на всех веб-сайтах

Этот элемент может считывать любые посещаемые вами страницы: интернет-банка, веб-почты, Facebook и т. д. Часто таким элементам требуется видеть все страницы, чтобы выполнять определенные операции ограниченного характера, например поиск RSS-фидов, на которые вы могли бы подписаться.

Предупреждение. Кроме просмотра всех посещаемых вами страниц, этот продукт может использовать ваши учетные данные (файлы cookie), чтобы запрашивать или изменять данные с веб-сайтов.

Ваши данные на сайтах {list of websites}

Этот элемент может просматривать страницы, которые вы посещаете на определенных веб-сайтах.

Предупреждение. Кроме просмотра всех посещаемых вами страниц, этот продукт может использовать ваши учетные данные (файлы cookie), чтобы запрашивать или изменять данные с веб-сайтов.

Значок низкой опасности Низкая опасность

Список установленных приложений, расширений и тем

Этот элемент может считывать список установленных тем, расширений и приложений. Он не может устанавливать новые элементы, но может включать, отключать, удалять и запускать уже имеющиеся.

Закладки

Этот элемент может считывать, изменять, добавлять и упорядочивать ваши закладки.

Данные о посещенных страницах

Этот элемент может просматривать и очищать историю посещенных страниц.

Вкладки и журнал посещений

Этот элемент может просматривать адреса и названия веб-сайтов, которые вы посещаете в новых вкладках или окнах. Часто это предупреждение может быть следствием того, что продукт открывает новые вкладки или окна.

Ваше физическое местоположение

Этот элемент использует информацию о местоположении, которую предоставляет ваш компьютер.

Копируемые и вставляемые данные

Этот элемент может считывать данные, которые вы копируете в буфер обмена операционной системы, в том числе конфиденциальные или личные сведения. Например, это может быть номер телефона, копируемый с веб-сайта или из локального документа.

Дополнительные разрешения

Этот элемент может предлагать вам предоставить разрешения или отказаться от этого после его первоначальной установки. Дополнительные разрешения могут быть необходимы для включения новых функций или возможностей элемента. Помните: отозвать предоставленные элементу разрешения невозможно.

Источник