Массовый взлом российских сайтов обнаружили специалисты антивирусной компании Dr. Web. На компьютеры пользователей под видом драйверов загружалось вредоносное программное обеспечение, в том числе и известный вирус „троянец”.
Обнаружен ряд веб-сайтов, на которых был отдельный подсайт, никак не связанный с основной тематикой этих интернет-ресурсов. 31 августа были выявлены 21 тыс. адресов веб-сайтов, распространяющих вредоносную программу.
Это уму непостежимо !
Скоро весь интернет может бить взломан и заражен вирусами. Неужели нельзя етих умников поймать и кострировать…на площадях городов.
Имеются все основания предполагать, что владельцы или администраторы этих ресурсов стали жертвами хищения паролей от FTP-клиентов, для чего злоумышленники могли воспользоваться многочисленными троянскими программами.
Кроме того, ссылки с некоторых взломанных сайтов ведут на поддельные службы файлового обмена. Ссылка на файл драйвера перенаправляет пользователя на промежуточный сайт, например ipurl.ru (сайт биржи трафика), а уже оттуда на другой ресурс, с которого под видом драйвера загружается троянская программа Trojan.Mayachok.
Получить список взломанных сайтов можно с использованием, например, поискового запроса samsung syncmaster.
Во всех случаях при попытке открыть в браузере какой-либо сайт „троянец” перенаправляет пользователя на заранее определенный URL, демонстрируя в окне браузера веб-страницу, предлагающую „активировать” или «подтвердить» аккаунт, указав свой номер телефона и ответив на входящее SMS.
Среди блокируемых вирусом сайтов замечены youtube.com, vkontakte.ru, odnoklassniki.ru, rostelecom.ru, support.akado.ru, my.mail.ru. Запустившись на инфицированном компьютере, «троянец» создает в каталоге system32 библиотеку с именем, сгенерированным на основе серийного номера текущего раздела жесткого диска, затем копирует себя во временный каталог под именем flash_player_update.exe и начинает запускать этот файл с периодичностью в 10 секунд.
Затем „троянец” вносит изменения в системный реестр Windows и перезагружает компьютер. После этого „троянец” сохраняет в каталог
C:Documents and SettingsAll UsersApplication Datacf …
собственный конфигурационный файл, содержащий перечень блокируемых сайтов, адреса управляющих серверов и скрипты, которые встраиваются в запрашиваемые пользователем веб-страницы.
