Symantec раскрыла подробности о работе "принтерного" вируса
13.07.2012 13:31
—
Новости Hi-Tech
Корпорация Symantec раскрыла подробности о вирусе Trojan.Milicenso, который стал известен благодаря побочному действию - отправке заданий на печать. Принтеры распечатывали случайные наборы символов до тех пор, пока в них не заканчивалась бумага.
В рамках дополнительного исследования удалось установить, что данное вредоносное ПО загружается при помощи веб-атаки перенаправления .htaccess, и как минимум 4000 веб-сайтов были скомпрометированы группировкой, ответственной за данную угрозу.
Перенаправление при помощи файла .htaccess
Файл .htaccess содержит конфигурационные данные веб-сервера, используемые веб-администратором для управления сетевым трафиком. Например, для запрещения доступа к определенным страницам, перенаправления запросов мобильных устройств на специальные сайты и так далее. Для мониторинга
сетевого трафика с легитимными сайтами злоумышленники (и некоторые готовые наборы вредоносного ПО) используют уязвимость веб-серверов для модификации файла .htaccess.
На рисунке ниже показано, как происходит перенаправление через .htaccess.
Путь распространения вируса
1. Когда пользователь переходит по ссылке, браузер запрашивает доступ к скомпрометированному сайту.
2. Веб-сервер перенаправляет пользователя на вредоносный сайт, используя данные из файла .htaccess.
3. На инфицированном сайте может быть множество угроз, потенциально способных использовать определенные уязвимости ПК.
О перенаправлении, описанном в пункте 2, пользователь не предупреждается, и он не имеет никакого представления о том, что произошло "за кулисами".
Файл .htaccess
На рисунке ниже представлен модифицированный файл .htaccess. Чтобы не привлекать внимания сетевых администраторов, атакующий вставил в оригинал более 800 пустых строк как в начале, так и в конце файла.
Модифицированный файл .htaccess
Конфигурация также была очень аккуратно сконструирована, чтобы не допустить обнаружения инфекции внешними пользователями или исследователями. Запрос к скомпрометированному сайту перенаправляется на вредоносную страницу, только при выполнении всех следующих условий:
1. Это первое посещение сайта (при последующих посещениях перенаправления не происходит).
2. Веб-сайт посещается при переходе по ссылке из поисковой системы, SNS или электронной почты (перенаправления не происходит, если пользователь заходит на веб-сайт из своих закладок или просто вписывая URL в адресную строку браузера).
3. Угроза работает только на платформе Windows (на других платформах перенаправления не происходит).
4. Используется популярный веб-браузер (переадресация не предусмотрена для альтернативных браузеров и поисковых систем).
Атакующий может отслеживать источник трафика, вставляя в запрос переадресации оригинальную URL, как показано на рисунке ниже:
Конфигурация файла .htaccess, обеспечивающая перенаправление на вредоносный сайт
Вредоносные веб-сайты
Изучение журналов позволило определить, что группировка использует технологию переадресации .htaccess как минимум с 2010 года. Перечень некоторых наиболее "свежих" вредоносных сайтов представлен ниже:
- [Случайное имя домена].tedzstonz.com;
- [Случайное имя домена].tgpottery.com;
- [Случайное имя домена].yourcollegebody.com;
- [Случайное имя домена].tgpottery.com;
- [Случайное имя домена].beeracratic.com;
- [Случайное имя домена].buymeaprostitute.com;
- [Случайное имя домена].zoologistes-sansfrontiere.com;
- [Случайное имя домена].zoologistes-sansfrontiere.com;
- [Случайное имя домена].buymeaprostitute.com;
- [Случайное имя домена].wheredoesshework.com;
- [Случайное имя домена].wheredidiwork.com;
- [Случайное имя домена].jordanmcbain.com;
- [Случайное имя домена].bankersbuyersguide.net;
- [Случайное имя домена].findmeaprostitute.com;
- [Случайное имя домена].watchmoviesnchat.com;
- [Случайное имя домена].joincts.info.
Атакующие меняют имена доменов как можно чаще, чтобы избежать блокировки или попадания в черный список. В 2010 и 2011 годах злоумышленники переходили на новый домен каждые несколько месяцев, а в 2012 переходы происходят почти ежедневно.
Скомпрометированные веб-сайты
За последние несколько дней специалисты Symantec обнаружили почти 4000 уникальных взломанных веб-сайтов, которые перенаправляют пользователей на вредоносные ресурсы. Большинство из них являются персональными страницами или сайтами средних и малых компаний, однако в перечне также присутствуют государственные, телекоммуникационные и финансовые организации, сайты которых также были скомпрометированы.
Распределение взломанных сайтов по доменам верхнего уровня
На диаграмме представлено распределение скомпрометированных веб-сайтов по доменам верхнего уровня. Как обычно, большая часть приходится на домен .com, за которым следуют .org и .net. Из более чем 90 стран, попавших в этот список, на Европу и Латинскую Америку приходится наибольшая часть взломанных сайтов, что соответствует распространению вируса Trojan.Milicenso.
В рамках дополнительного исследования удалось установить, что данное вредоносное ПО загружается при помощи веб-атаки перенаправления .htaccess, и как минимум 4000 веб-сайтов были скомпрометированы группировкой, ответственной за данную угрозу.
Перенаправление при помощи файла .htaccess
Файл .htaccess содержит конфигурационные данные веб-сервера, используемые веб-администратором для управления сетевым трафиком. Например, для запрещения доступа к определенным страницам, перенаправления запросов мобильных устройств на специальные сайты и так далее. Для мониторинга
сетевого трафика с легитимными сайтами злоумышленники (и некоторые готовые наборы вредоносного ПО) используют уязвимость веб-серверов для модификации файла .htaccess.
На рисунке ниже показано, как происходит перенаправление через .htaccess.
Путь распространения вируса1. Когда пользователь переходит по ссылке, браузер запрашивает доступ к скомпрометированному сайту.
2. Веб-сервер перенаправляет пользователя на вредоносный сайт, используя данные из файла .htaccess.
3. На инфицированном сайте может быть множество угроз, потенциально способных использовать определенные уязвимости ПК.
О перенаправлении, описанном в пункте 2, пользователь не предупреждается, и он не имеет никакого представления о том, что произошло "за кулисами".
Файл .htaccess
На рисунке ниже представлен модифицированный файл .htaccess. Чтобы не привлекать внимания сетевых администраторов, атакующий вставил в оригинал более 800 пустых строк как в начале, так и в конце файла.
Модифицированный файл .htaccessКонфигурация также была очень аккуратно сконструирована, чтобы не допустить обнаружения инфекции внешними пользователями или исследователями. Запрос к скомпрометированному сайту перенаправляется на вредоносную страницу, только при выполнении всех следующих условий:
1. Это первое посещение сайта (при последующих посещениях перенаправления не происходит).
2. Веб-сайт посещается при переходе по ссылке из поисковой системы, SNS или электронной почты (перенаправления не происходит, если пользователь заходит на веб-сайт из своих закладок или просто вписывая URL в адресную строку браузера).
3. Угроза работает только на платформе Windows (на других платформах перенаправления не происходит).
4. Используется популярный веб-браузер (переадресация не предусмотрена для альтернативных браузеров и поисковых систем).
Атакующий может отслеживать источник трафика, вставляя в запрос переадресации оригинальную URL, как показано на рисунке ниже:
Конфигурация файла .htaccess, обеспечивающая перенаправление на вредоносный сайтВредоносные веб-сайты
Изучение журналов позволило определить, что группировка использует технологию переадресации .htaccess как минимум с 2010 года. Перечень некоторых наиболее "свежих" вредоносных сайтов представлен ниже:
- [Случайное имя домена].tedzstonz.com;
- [Случайное имя домена].tgpottery.com;
- [Случайное имя домена].yourcollegebody.com;
- [Случайное имя домена].tgpottery.com;
- [Случайное имя домена].beeracratic.com;
- [Случайное имя домена].buymeaprostitute.com;
- [Случайное имя домена].zoologistes-sansfrontiere.com;
- [Случайное имя домена].zoologistes-sansfrontiere.com;
- [Случайное имя домена].buymeaprostitute.com;
- [Случайное имя домена].wheredoesshework.com;
- [Случайное имя домена].wheredidiwork.com;
- [Случайное имя домена].jordanmcbain.com;
- [Случайное имя домена].bankersbuyersguide.net;
- [Случайное имя домена].findmeaprostitute.com;
- [Случайное имя домена].watchmoviesnchat.com;
- [Случайное имя домена].joincts.info.
Атакующие меняют имена доменов как можно чаще, чтобы избежать блокировки или попадания в черный список. В 2010 и 2011 годах злоумышленники переходили на новый домен каждые несколько месяцев, а в 2012 переходы происходят почти ежедневно.
Скомпрометированные веб-сайты
За последние несколько дней специалисты Symantec обнаружили почти 4000 уникальных взломанных веб-сайтов, которые перенаправляют пользователей на вредоносные ресурсы. Большинство из них являются персональными страницами или сайтами средних и малых компаний, однако в перечне также присутствуют государственные, телекоммуникационные и финансовые организации, сайты которых также были скомпрометированы.
Распределение взломанных сайтов по доменам верхнего уровняНа диаграмме представлено распределение скомпрометированных веб-сайтов по доменам верхнего уровня. Как обычно, большая часть приходится на домен .com, за которым следуют .org и .net. Из более чем 90 стран, попавших в этот список, на Европу и Латинскую Америку приходится наибольшая часть взломанных сайтов, что соответствует распространению вируса Trojan.Milicenso.