Массовая атака на веб-ресурсы.
24 сентября 2007
Рубрика: Интернет и сети.
Автор: .

pic
Постоянные читатели помнят, наверное, как я описывал заражение вирусом сайта «Арбуз – занимательный ми». Я очень переживал инцидент, думал, что это я один такой неумеха, пропустивший заразу на свою страничку. Переживал, как оказалось, напрасно – я не один, к сожалению, владелец зараженной странички. Количество их растет с удручающей быстротой, ситуация настолько опасная, что сотрудники Службы реагирования на компьютерные инциденты при Центре UZINFOCOM открыли специальный раздел на объединенном uForum’e в котором сообщают о зараженных сайтах Узнета.

Приведу список зараженных страниц Узнета.

hттp://www.me.uz
hттp://www.arksugurta.uz
hттp://www.elgroup.uz
hттp://www.innovation.uz
hттp://www.iptv.uz
hттp://roller.sarkor.uz
hттp://www.versal.uz
hттp://www.asus.uz
hттp://www.glob.uz
hттp://www.baik.uz
hттp://mingbulak.connect.uz
hттp://tashkent.sarkor.uz
hттp://www.alutex.uz
hттp://www.flowershop.uz
hттp://www.admiral.uz
hттp://www.al-aziz.uz
hттp://www.asg.uz
hттp://www.newmax.uz
hттp://www.podarki.uz
hттp://www.realvid.uz
hттp://www.rabotavsem.uz
hттp://www.parfumgallery.uz
hттp://www.noni.uz
hттp://www.minzdr.uz
hттp://www.mikrokreditbank.uz
hттp://www.kmn.uz
hттp://www.keetas.uz
hттp://www.kamini.uz
hттp://www.irmoq.uz
hттp://www.intek.uz
hттp://www.in.uz
hттp://www.immunology.uz
hттp://www.filesearch.uz

Как вам количество? Не правда ли неожиданно большое? Это только замеченные сайты с вредоносным кодом, пытающимся заразить компьютер пользователя.

Сотрудники Службы реагирования на компьютерные инциденты рядом с каждым из найденных зараженных сайтов пишут в сообщениях на форуме: «Просим с осторожностью заходить на данный веб-сайт до разрешения инцидента и заблокировать в своих межсетевых экранах вредоносную ссылку».

Всем пользователям Интернета настоятельно рекомендуется установить программу-антивирус, проверяющую атаки на компьютер в режиме реального времени. Например, «Антивирус Касперского» с постоянным обновлением вирусных баз.

pic

Вредоносный код пытается получить доступ к реестру компьютера пользователя чтобы внедриться в него, потом начинает сканировать сетевые порты для заражения найденных файлов с расширениями htm, html, php и другие. Разные модификации вирусов ведут себя по разному, некоторые отсылают найденные пароли на определенный сервер в Интернете, у многих знакомых посещение зараженных сайтов приводит к сбросу операционной системы и перезагрузки компьютера. Известны случаи, когда пришлось полностью переустанавливать Windows XP после посещения зараженного сайта.

Поучительна история с сервисом доставки цветов hттp://www.FlowerShop.uz. Он рекламируется на Фромузе – предлагается всем нынешним и бывшим жителям Ташкента поздравить своих учителей, послав им букет цветов посредством онлайнового сервиса. Но сам сайт, как оказалось, заражен, о чем и было сообщено на форуме Центра UZINFOCOM. Оказалось, что сайт поддерживается студией eSector Solutions, ее сотрудники узнали о заражении и быстро ликвидировали опасность. Сейчас сервис работает, опасность заражения ликвидирована, плюс получен даже небольшой своеобразный пиар для услуги.

На мои вопросы: «Хотелось бы узнать — это массовая атака на Узнет или просто раньше не обращали внимания на это? И что делает вирус на зараженном компьютере?» ответил Ведущий специалист UZ-CERT Дмитрий Палеев: «Массовой атаки на Узнет замечено не было. На сегодняшний день по статистике различных экспертов по информационной безопасности во всем мире на первых местах стоит как раз угроза внедрения вредоносного кода на веб-сайты. В основном это делается для того, чтобы воровать идентификационные данные пользователей и вовлекать их компьютеры в различные бот-сети. Данный вид угрозы широко распространен практически во всех странах. Узбекистан не исключение. Если в прошлом году мы могли наблюдать единичные случаи внедрения вредоносного кода на сайты, то в этом году это уже становится действительно серьезной проблемой».

Общие сведения о росте зараженных сайтов в Интернете были опубликованы на Cnews. Вот выдержки из статьи.

Рост количества автоматических незаметных загрузок троянских и рекламных программ при посещении легальных веб-сайтов напрямую связан с развитием технологий Web 2.0. Сайты, содержащие многочисленные сценарии, зачастую написаны не самым лучшим образом, и хакерам удаётся скомпрометировать содержимое веб-страниц, утверждают исследователи из Google.

Группа исследователей представила доклад о результатах исследования 4,5 млн. веб-страниц из индексной базы Google на предмет вредоносного кода. Каждый десятый сайт содержал механизм так называемой «drive-by download» — незаметной загрузки и установки кода при посещении.

Наиболее частыми причинами превращения страниц в «рассадники» троянов являются: нарушение безопасности веб-сервера, пользовательский контент, рекламные и сторонние виджеты, сообщил CSOOnline.com.

В 2005 году аналогичное исследование проводили в университете Вашингтона. Тогда в Сети были обнаружены несколько тысяч сайтов, содержащих троянцев или рекламное программное обеспечение. Специалисты Google нашли 450 тыс. явных «рассадников» троянского кода и ещё 700 тыс. страниц, которые показались вредоносными, но не были дополнительно проверены. Троянцы были наиболее частым видом вредоносного кода: их нашли на двух третях из 450 тыс. сайтов.

Для борьбы с заражением компьютеров посетителей Google помечает потенциально опасные сайты, чтобы пользователи могли решить, стоит ли их посещать.

Такой меткой отмечен до сих пор и Арбуз в результатах поиска Гугля не смотря на то, что прошел уже месяц после полного излечения.

pic

Надо писать письмо в техподдержку Гугля чтобы сняли это отпугивающее предупреждение.

Для владельцев зараженных сайтов могу рассказать как это мне удалось сделать. Началось с многократных сообщений о том, что посещение Арбуза вызывает предупреждение о вирусах. Сначала был заражен только файл index.php (перезаливка его по FTP давала лишь временную отсрочку – и снова он оказывался зараженным), потом антивирус реагировал на все страницы сайта. Вот что было проделано.

1. Обновил Антивирус Касперского и проверил файлы компьютера
2. Зашел в Plesk и поменял пароль доступа по FTP
3. Перезалил все файлы сайта со своего компьютера
4. Зашел в Plesk и поменял пароль доступа по FTP
5. Посещение сайта опять показывало «атакующую заразу», но это были странички, запомненные в кэше компьютера. После очистки кэша все стало открываться без вирусов.

Пояснение – знакомые специалисты объяснили, что засевший на зараженном компьютере троян находит пароли доступа по FTP, сам связывается с сервером и модифицирует файлы на удаленном сервере. Простая замена пароля не помогает, так как он повторяет свои попытки снова. Для выхода из ситуации надо менять пароли на доступ по FTP и не хранить их в FTP-менеджере, а после каждого сеанса доступа сразу же менять пароли на FTP в Plesk’e.

Надеюсь, что все владельцы зараженных сайтов справятся со своей бедой.

Orphus system
Подписывайтесь на канал infoCOM.UZ в Telegram, чтобы первыми узнавать об ИКТ новостях Узбекистана
В Telegram
В WhatsApp
В Одноклассники
ВКонтакте