Заметки сисадмина о интересных вещах из мира IT, инструкции и рецензии. Настраиваем Компьютеры/Сервера/1С/SIP-телефонию в Москве

Если на Вашем сайте появился вредоносный тег IFRAME

2007-10-14 · Posted in Антивирусы

Это делает новый троян, похищающий пароли доступа и часто не определяющийся антивирусными программами

Началась подобная эпидемия в конце 2006 – начале 2007 года владельцы сайтов столкнулись с неприятной ситуацией. При открытии индексной страницы сайта (хостинг значение не имеет, платный или бесплатный) на компьютер начинал подгружаться вирус-троян. Оказывается, в код страницы были внесены изменения – добавлена ссылка на сайт-вирусоноситель, с которого собственно и загружался троян. Некоторые индексные страницы вообще "стирались", то есть, на них не оставалось ни одного тега, чисто тебе чистый лист бумаги :).

Соответственно прокатилась волна претензий и обвинений к хостерам, из-за "взлома" хостов пользователей, которое приняло такие масштабы, что впору было обвинять именно хостеров.

Суть вносимых изменений заключается в том, что на странице index.html (или index.php) появляется следующий участок кода:

iframe src=http://ссылка_на_вредоносный_сайт_содержащий_вирус

Тег iframe как правило со значением width="0" и height="0", это означает, что Вы не увидите открывающееся окно "левого" сайта, поскольку заданы нулевые координаты этого окна.

Анализ механизма заражения сайта показал следующий результат. Индексные страницы менялись посредством фтп подключения причем легального, т.е. никакого взлома сайта не производилось. После более детального изучения выяснилось что подобное поведение присуще Trojan'ской программе семейства Pinch, так как она умеет обходить брандмауэры и антивирусные программы, которая похищает все к чему может дотянуться, в том числе пароли, сохраненные в IE, CuteFTP, Total Commander и еще десятке различных программ.

Само заражение происходит следующим образом:
– Сначала загружается Trojan-Downloader.VBS. Psyme.fc – троянская программа-загрузчик других троянов.
– Именно она подгружает еще два вируса – Trojan-PSW.Win32.LdPinch.bik (или модификация) и Trojan.Win32.Agent.oh (не обязательно).

Самое интересное, что как DrWeb, и впоследствии установленный после него Антивирус KAV, определяли, что на компьютер закачивается троян и его ликвидировали. Один ньюанс: с самого начала загрузки файлов с зараженного сайта на рабочем столе создавался и выполнялся файл new.exe. В папке windows появлялись файлы названиями r.exe или c.exe, которые антивирусом не опознавались как опасные. По свидетельствам других пользователей в папке Windows мог создаваться поддельный файл с названием svchost.exe (оригинал находится в папке System32). Тогда в процессах операционной системы трудно определить, какой из процессов, используемых программой svchost.exe есть истинный, а какой поддельный. Если у Вас стоит это ПО а такой тег появился, то вполне возможно, что запущена или модификация этого вируса, которая успевает обойти антивирус, или работает другой вирус, с похожим алгоритмом. Есть еще вариант, причем очень вероятный. Используемая программа-троян принадлежит к руткитам (программам, внедряемым в ядро операционной системы), которые трудно обнаруживаются антивирусами. Или используется уязвимость Internet Explorer 6. Вот как о ней писалось: Удаленный пользователь может с помощью специально сформированной Web страницы загрузить на удаленную систему произвольный HTA файл и затем выполнить его с привилегиями пользователя, запустившего браузер. Удачная эксплуатация уязвимости позволит злоумышленнику выполнить произвольный код на целевой системе.

Если с Вами произошла эта неприятность:

1. Полная проверка своего компьютера на вирусы, spyware, трояны и прочее вредоносное ПО анитвирусом с самыми последними обновлениями, желательно несколькими.
2. Смена паролей доступа к фтп, cPanel, биллингу, о чем можно написать запрос в службу технической поддержки
3. Восстановление сайта из резервных копий (которые Вы должны периодически делать), если у Вас их нет Вы можете так же обратиться к отделу технической поддержки с запросом на восстановление данных, но помните что наша компания производит резервное копирование на случай сбоя оборудования по графику неделя/месяц и потому в резервной копии может храниться уже зараженная версия сайта.
4. Никогда не сохраняйте пароли в программах, если не уверены в своей памяти, запишите на отдельный носитель например бумажку 🙂 хоть это и не хорошо с точки зрения информационной безопасности, зато вирусы не достанут.
5. Не передавайте пароли от фтп аккаунтов другим лицам, если все же такое случилось передайте тем людям эти рекомендации.
6. Так как поиск уязвимостей хакерами ориентирован на Internet Explorer, есть и компромиссный вариант: использовать альтернативный браузер, не базирующийся на платформе IE. Это Firefox (огненная лиса) на движке Mozilla. Но 100% гарантии это не дает.

Leave a Reply