Специалистами компании "Доктор Веб" на 31 августа 2011 года выявлено более 21000 взломанных сайтов для распространения известного троянца Trojan.Mayachok. С взломанных сайтов на компьютеры пользователей вредоносное ПО загружается под видом драйверов.
Владельцам ресурсов Рунета рекомендовано проверить свои интернет-ресурсы на предмет наличия посторонних каталогов и файлов.
На некоторых взломанных сайтах обнаружены подсайты, которые предлагают пользователям загрузить драйверы различных устройств. Ссылка на файл драйвера
перенаправляет пользователя на промежуточный сайт, например ipurl.ru (сайт
биржи трафика), а уже оттуда на другой ресурс, с которого под видом драйвера
загружается троянская программа
Троянская программа
В начале июля 2011 года атаке этой троянской программы подверглись
пользователи интернет-провайдера «Ростелеком», а в августе
стал, согласно данным статистики, одной из самых распространенных угроз.
youtube.com, vkontakte.ru, odnoklassniki.ru,
rostelecom.ru, support.akado.ru, my.mail.ru.
Работа вредоносного ПО такова.
Запустившись на инфицированном компьютере, троянец создает в каталоге system32
библиотеку с именем, сгенерированным на основе серийного номера текущего
раздела жесткого диска, затем копирует себя во временный каталог под именем flash_player_update.exe
и начинает запускать этот файл с периодичностью в 10 секунд. Затем троянец
вносит изменения в системный реестр Windows и перезагружает компьютер. После
этого
C:\Documents and Settings\All Users\Application Data\cf собственный
конфигурационный файл, содержащий перечень блокируемых сайтов, адреса
управляющих серверов и скрипты, которые встраиваются в запрашиваемые
пользователем веб-страницы.
Комментариев нет:
Отправить комментарий