10.07.2007 00:00
Новости.
Просмотров всего: 3887; сегодня: 2.

Trend Micro предупреждает о серьезной интернет-угрозе, распространяющейся по всему миру

Исследовательская лаборатория TrendLabs компании Trend Micro, мирового лидера в области сетевых антивирусных программ, ПО и услуг для защиты контента, сообщает о серьезной эпидемии, затронувшей тысячи популярных итальянских сайтов. Вредоносный код, находящийся на зараженных сайтах, устанавливает на компьютер пользователя программу, способную похищать пароли и превращать компьютер в сервер, предназначенный для совершения зловредных атак. По данным TrendLabs, от заражения пострадало десятки тысяч пользователей по всему миру.

Подавляющее большинство пострадавших сайтов изначально находилось в Италии, однако очень быстро атака распространилась по всему миру. На зараженных сайтах размещен код, который направляет посетителей на сервер, где находится набор хакерских инструментов Mpack. С помощью этих эксплойтов фиксируется информация об атакуемых компьютерах, включая IP-адреса, а также какие уязвимости можно использовать для взлома. Примечательно, что Mpack можно приобрести на ряде русских сайтов примерно за 700 долларов США.

Ставшие опасными сайты охватывают широкий спектр интересов – от туризма, автомобилей, фильмов и музыки, налогов и услуг по трудоустройству до сайтов некоторых итальянских городских советов и отелей. Очевидно, большинство из этих сайтов использовали хостинг одного из крупнейших интернет-провайдеров Италии. Не миновала сия участь даже сайты, связанные с Джоном Бон Джови и Матерью Терезой.

В течение 48 часов после начала эпидемии было взломано более 2 000 итальянских сайтов. Trend Micro регистрировала удвоение числа жертв каждые 6-8 часов. «Интернет-угрозы являются незаметными для незащищенных пользователей и поэтому более опасными, чем обычные вирусы. Злоумышленники используют несколько вредоносных программ для того, чтобы остаться незамеченными и установить финальную часть цепочки – программу регистрации клавиатурного ввода, которая предназначена для кражи такой персональной информации, как банковские данные и пароли», – заявил Иван Макалинтал (Ivan Macalintal), старший исследователь интернет-угроз TrendLabs, компания Trend Micro.

Вредоносный код задействует уязвимость скриптов iFrames, которые широко используются при создании сайтов. Процесс заражения представляет собой сложную цепь:

1. URL первого уровня – зараженные или взломанные итальянские сайты. TrendLabs идентифицирует тег, который располагается на зараженных сайтах, как HTML_IFRAME.CU

2. Пользователи перенаправляются по специальному IP-адресу (HTML_IFRAME.CU) на сайт, где находится Javascript-загрузчик (JS_DLOADER.NTJ). Этот сайт имеет URL второго и третьего уровня. Пытаясь вызвать переполнение буфера в браузере пользователя, JS_DLOADER.NTJ использует уязвимости браузера.

3. С адреса уже четвертого уровня на сайты с URL третьего уровня загружается троянец, идентифицируемый Trend Micro как TROJ_SMALL.HCK. При первоначальном тестировании специалисты TrendLabs обнаружили, что этот вредоносный кода JavaScript распознает тип браузера и выбирает, какой уязвимостью воспользоваться.

4. Далее с адресов пятого уровня происходит загрузка троянцев TROJ_AGENT.UHL и TROJ_PAKES. TROJ_AGENT.UHL может действовать в качестве прокси-сервера, который позволяет удаленному пользователю анонимно подключаться к Интернету через зараженный компьютер. TROJ_PAKES.NC сохраняется во временной папке пользователя и загружает с URL шестого уровня программу-вора, которая регистрирует клавиатурный ввод компьютера – разновидность троянца SINOWAL.

Специалисты TrendLabs советуют корпоративным пользователям принимать следующие меры безопасности: Развернуть средства HTTP-сканирования. Учитывая преобладание интернет-угроз, настоятельно рекомендуется развернуть в крупных и средних сетях системы интернет-сканирования. Необходимо позаботиться о том, чтобы пользователи не могли их «обойти». Наиболее безопасный способ реализации такой системы заключается в принудительном перенаправлении всех интернет-запросов в сканирующее устройство или в запрете доступа. Такие меры наиболее эффективны в борьбе с вредоносным и шпионским ПО, поскольку Интернет становится точкой входа номер один в корпоративную сеть. Не позволять ненужным протоколам входить в корпоративную сеть. Наиболее опасными из них являются коммуникационные протоколы P2P и IRC-чат. Они являются частью арсенала ботов, которые занимаются размножением вредоносных программ и передают информацию своему владельцу. Развернуть в сети ПО, сканирующие уязвимости. Постоянное обновление ОС позволяет минимизировать негативное влияние любых новых уязвимых мест в сети и уменьшить риск заражения этими типами червей. Кроме того, настоятельно рекомендуется постоянно обновлять все остальные приложения – сюда относятся офисные приложения и все другое ПО, которое используют сотрудники. Ограничить права всех сетевых пользователей. Руткиты, действующие на уровне ядра, реализуются в виде драйверов устройств. По этой причине запрет пользователям на загрузку и выгрузку драйверов позволяет почти полностью избежать этой опасности. Другие вредоносные программы используют права администратора для выполнения зловредных действий. Представляется разумным значительно сузить возможности вредоносной программы, ограничив права пользователей. Это осуществляется за счет лишения пользователей администраторских прав. Развернуть корпоративные средства антишпионского сканирования, т.к. шпионское ПО становится все более серьезной опасностью для корпоративных пользователей.


Ньюсмейкер: Trend Micro — 100 публикаций
Поделиться:

Интересно:

325 лет назад Петр I издал указ о праздновании Нового года 1 января
20.12.2024 13:05 Аналитика
325 лет назад Петр I издал указ о праздновании Нового года 1 января
До конца XV века Новый год на Руси праздновали 1 марта. Эта точка отсчета была связана с тем, что в марте земля пробуждалась от зимнего "сна", начинался новый посевной сезон. С 1495 года Московский государь Иван III приказал перенести празднование Нового года на 1 сентября. Причин для...
19.12.2024 19:56 Интервью, мнения
Праздник к нам приходит: как поддержать атмосферу Нового Года в офисе
Конец года — самое жаркое время за все 12 месяцев, особенно для компаний. Нужно успеть закрыть все задачи, сдать отчёты, подготовить планы, стратегии и бюджеты. И, конечно же, не забывать про праздник, ведь должно же хоть что-то придавать смысл жизни в декабре, помимо годового бонуса.  Не...
Прозвища бумажных денег — разнообразные и многоликие
19.12.2024 18:17 Аналитика
Прозвища бумажных денег — разнообразные и многоликие
Мы часто даем прозвища не только знакомым людям и домашним питомцам, но и вещам, будь то автомобили, компьютеры, телефоны… Вдохновляемся цветом или формой, называем их человеческими именами и даем понять, что они принадлежат только нам и имеют для нас...
Советская военная контрразведка
19.12.2024 17:51 Аналитика
Советская военная контрразведка
Советская военная контрразведка появилась в годы Гражданской войны и неоднократно меняла свою подчиненность, входя то в структуру военного ведомства, то в госбезопасность. 30 мая 1918 г. учрежден первый орган военной контрразведки Красной армии – Военный контроль Оперативного отдела Народного...
Защитить самое ценное: История страхования в России
18.12.2024 13:22 Аналитика
Защитить самое ценное: История страхования в России
С давних времен человек стремится перехитрить свою судьбу. Люди желают знать, что будет, чтобы вовремя подготовиться к возможным перипетиям и обезопасить свое будущее. Вот только карты и гадалки в этом вопросе бессильны, куда надежнее справиться с рисками помогают...