Корпорация Symantec раскрывает подробности об угрозе Trojan.Milicenso, которая стала известна благодаря побочному действию – отправке заданий на печать. Принтеры распечатывали случайные наборы символов до тех пор, пока в них не заканчивалась бумага. В рамках дополнительного исследования удалось установить, что данное вредоносное ПО загружается при помощи веб-атаки перенаправления .htaccess, и как минимум 4 000 веб-сайтов были скомпрометированы группировкой, ответственной за данную угрозу.

Файл .htaccess содержит конфигурационные данные веб-сервера, используемые веб-администратором для управления сетевым трафиком. Например, для запрещения доступа к определенным страницам, перенаправления запросов мобильных устройств на специальные сайты и так далее. Для мониторинга сетевого трафика с легитимными сайтами злоумышленники (и некоторые готовые наборы вредоносного ПО) используют уязвимость веб-серверов для модификации файла .htaccess.

На рисунке ниже показано, как происходит перенаправление через .htaccess

Конфигурация также была очень аккуратно сконструирована, чтобы не допустить обнаружения инфекции внешними пользователями или исследователями. Запрос к скомпрометированному сайту перенаправляется на вредоносную страницу, только при выполнении всех следующих условий:

1. Это первое посещение сайта (при последующих посещениях перенаправления не происходит);

2. Веб-сайт посещается при переходе по ссылке из поисковой системы, SNS или электронной почты (перенаправления не происходит, если пользователь заходит на веб-сайт из своих закладок или просто вписывая URL в адресную строку браузера);

3. Угроза работает только на платформе Windows (на других платформах перенаправления не происходит);

4. Используется популярный веб-браузер (переадресация не предусмотрена для альтернативных браузеров и поисковых систем).

Атакующие меняют имена доменов как можно чаще, чтобы избежать блокировки или попадания в черный список. В 2010 и 2011 годах злоумышленники переходили на новый домен каждые несколько месяцев, а в 2012 переходы происходят почти ежедневно. 

За последние несколько дней специалисты Symantec обнаружили почти 4 000 уникальных взломанных веб-сайтов, которые перенаправляют пользователей на вредоносные ресурсы. Большинство из них являются персональными страницами или сайтами средних и малых компаний, однако в перечне также присутствуют государственные, телекоммуникационные и финансовые организации, сайты которых также были скомпрометированы.

Как обычно, большая часть приходится на домен .com, за которым следуют .org и .net. Из более чем 90 стран, попавших в этот список, на Европу и Латинскую Америку приходится наибольшая часть взломанных сайтов, что соответствует распространению вируса Trojan.Milicenso.

Антивирусные продукты Symantec определяют заражённые файлы .htaccess как Trojan.Malhtaccess. Удалите их, замените последней известной безопасной резервной копией и установите обновления безопасности для всех используемых операционных систем и веб-приложений, включая CMS.

В дополнение к антивирусным сигнатурам, специалисты Symantec создали специальную сигнатуру IPS 25799: Web Attack: Malicious Executable Download 6, которая автоматически защищает пользователей от перенаправления на вредоносные ресурсы.

Как уже было отмечено в последнем отчете об угрозах интернет-безопасности, веб-атаки по-прежнему остаются самым активным вектором угроз, который продолжают развивать авторы вредоносного ПО. Symantec отслеживает подобные действия и продолжает обеспечивать защиту всех своих заказчиков.