Enso feltört oldalak 4000
A Symantec Corporation feltárja részleteket a fenyegetés Trojan.Milicenso, amely vált ismertté mellékhatása - küldik a nyomtatási feladatokat. A nyomtató kinyomtatja a véletlen karakterkészletek mindaddig, amíg kifogy a papír bennük. Ennek része a további vizsgálatok megállapították, hogy a rosszindulatú programok letölthetők a webes támadások .htaccess átirányítás, és legalább 4000 honlapok veszélybe felelős csoport ezt a fenyegetést.
Átirányítás segítségével .htaccess fájlt
.htaccess fájl konfigurációs adatokat a webkiszolgáló által használt webes rendszergazda számára a hálózati forgalmat. Például, hogy megtagadja a hozzáférést bizonyos oldalak, átirányítja a mobil kérelmek konkrét helyszínek és így tovább. Figyelemmel kíséri a hálózati forgalmat legitim oldalak támadók (és néhány előre beállított malware) használt webkiszolgáló biztonsági rés, hogy módosítsa a .htaccess fájlt.
Az alábbi ábra azt mutatja, hogy a továbbítás útján .htaccess.
1. ábra: Az útvonal a vírussal
- Amikor a felhasználó rákattint a linkre, a böngésző hozzáférést kér a sérült oldalon.
- A webkiszolgáló átirányítja a felhasználót a rosszindulatú webhely adatait felhasználva, a .htaccess fájlt.
- A fertőzött területen is sok fenyegetés, azzal a veszéllyel, hogy bizonyos számítógépes biztonsági réseket.
Mintegy átirányításával 2. pontban leírt, a felhasználó nem fog figyelmeztetni, és fogalma sincs, hogy mi történt a „színfalak mögött”.
Az alábbi ábra mutatja a módosított .htaccess fájlt. Annak érdekében, hogy ne vonzza a figyelmet a hálózati rendszergazda, a támadó fel az eredeti, több mint 800 üres sorok elején és végén a fájlt.
2. kép A módosított .htaccess fájlban
Configuration is már nagyon gondosan tervezték, hogy ne derüljön a fertőzés külső felhasználók, illetve a kutatók. Kérelem a fertőzött webhely átirányítja egy rosszindulatú oldalt, csak akkor, ha az alábbi feltételek teljesülnek:
3. kép fájlt .htaccess konfiguráció, amely egy átirányítás a rosszindulatú webhely
- [RANDOM TARTOMÁNYNÉV] .tedzstonz.com;
- [RANDOM TARTOMÁNYNÉV] .tgpottery.com;
- [RANDOM TARTOMÁNYNÉV] .yourcollegebody.com;
- [RANDOM TARTOMÁNYNÉV] .tgpottery.com;
- [RANDOM TARTOMÁNYNÉV] .beeracratic.com;
- [RANDOM TARTOMÁNYNÉV] .buymeaprostitute.com;
- [RANDOM TARTOMÁNYNÉV] .zoologistes-sansfrontiere.com;
- [RANDOM TARTOMÁNYNÉV] .zoologistes-sansfrontiere.com;
- [RANDOM TARTOMÁNYNÉV] .buymeaprostitute.com;
- [RANDOM TARTOMÁNYNÉV] .wheredoesshework.com;
- [RANDOM TARTOMÁNYNÉV] .wheredidiwork.com;
- [RANDOM TARTOMÁNYNÉV] .jordanmcbain.com;
- [RANDOM TARTOMÁNYNÉV] .bankersbuyersguide.net;
- [RANDOM TARTOMÁNYNÉV] .findmeaprostitute.com;
- [RANDOM TARTOMÁNYNÉV] .watchmoviesnchat.com;
- [RANDOM TARTOMÁNYNÉV] .joincts.info.
Az elmúlt napokban, a Symantec szakemberei talált közel 4000 egyedi veszélybe weboldalak átirányítani a felhasználókat a rosszindulatú források. Legtöbbjük személyes oldalak vagy webhelyek a kis- és közepes vállalkozások, hanem jelen van a listán a kormány, a távközlés és a pénzügyi intézmények, amelyek szintén a területek is veszélybe kerültek.
4. kép megoszlása feltört webhelyek legfelső szintű domainek
Az ábra mutatja a eloszlását kompromittált weboldalak a felső szintű domain. Mint általában, a legtöbb beszámoló a domain .com, .org, majd pedig a .NET. A több mint 90 országban készült a lista Európa és Latin-Amerika elszámolni a legnagyobb része a feltört oldalak, amely megfelel a vírus terjedését Trojan.Milicenso.
Symantec vírusvédelmi termékek határozzák meg, hogyan fertőzött fájlokat .htaccess Trojan.Malhtaccess. Távolítsuk el őket, cserélje ki az utolsó ismert biztonságos mentés és telepíteni a biztonsági frissítés az összes operációs rendszert és web-alapú alkalmazások, többek között a CMS.
Amellett, hogy az anti-vírus aláírás, a Symantec szakértői létrehozott egy speciális aláírás IPS 25799: Web támadás: rosszindulatú végrehajtható Letöltés 6, amely automatikusan megvédi a felhasználókat a rosszindulatú átirányítson források.