16:12 25.07.2012 |   1574



Компания Symantec раскрыла данные дополнительного исследования угрозы Trojan.Milicenso, заставляющей принтеры распечатывать наборы символов до тех пор, пока в них не закончится бумага.

В Symantec исследовали работу «принтерного» вируса
На рисунке представлен модифицированный файл .htaccess. Чтобы не привлекать внимания сетевых администраторов, атакующий вставил в оригинал более 800 пустых строк как в начале, так и в конце файла.

Компания Symantec раскрыла данные дополнительного исследования угрозы Trojan.Milicenso, заставляющей принтеры распечатывать наборы символов до тех пор, пока в них не закончится бумага. Оказалось, что данная вредоносная программа загружается при помощи веб-атаки перенаправления .htaccess.

Файл .htaccess содержит конфигурационные данные веб-сервера, используемые веб-администратором для управления сетевым трафиком.

В Symantec исследовали работу «принтерного» вируса
Конфигурация файла .htaccess, обеспечивающая перенаправление на вредоносный сайт

Перенаправление через .htaccess происходит следующим образом. При переходе пользователя по ссылке браузер запрашивает доступ к скомпрометированному сайту. Затем, используя данные из файла .htaccess, веб-сервер без дополнительных уведомлений перенаправляет пользователя на вредоносный сайт, где может находиться множество угроз.

Чтобы не допустить обнаружения инфекции, запрос к скомпрометированному сайту перенаправляется на вредоносную страницу только при выполнении целого ряда условий: это первое посещение сайта, ссылка открывается из поисковой системы (а не вписывается вручную), компьютер работает под управлением Windows, а также используется браузер, поддерживающий переадресацию.

Изучение журналов позволило определить, что группировка использует данную технологию как минимум с 2010 года. За последние несколько дней специалисты Symantec обнаружили почти 4 тыс. взломанных ресурсов, принадлежащих средним и малым компаниям, а также финансовым и государственным организациям. Большая их часть приходится на домен .com, за которым следуют .org и .net.


Теги: Информационная безопасность