Троянский вирус ворует пароли от FTP

Автор: Довбня Сергей Вторник, 1 мая 2007 11:42

Вниманию всех владельцев сайтов!

Появилась троянская программа нового поколения. Если у Вас есть Веб-сайт значит Вы в группе риска. Не игнорируйте данное сообщение, срочно проверьте свои сайты и примите меры по повышению безопасности.

Как внедряется и работает троянская программа

При заходе браузером Internet Explorer на зараженную страницу происходит внедрение троянской программы.

Windows XP SP2, Internet Explorer пропатченный, DrWeb с актуальными базами, Outpost Firewall 4 – эти меры мне не помогли избежать заражения. Internet Explorer я не пользуюсь для серфинга, но использую AllSubmitter, который построен на ядре Internet Explorer.

Из чего вывод: данная троянская программа пока не блокируется штатными средствами и уязвимости подвержены все приложения, использующие ядро Internet Explorer.

Далее программа берет все логины и пароли из программ для работы с FTP и передает их владельцу троянской программы.

Владелец внедряет в Ваш сайт в невидимом фрейме страницу с троянской программой. В итоге все посетители Вашего сайта тоже заражаются.

Когда я впервые услышал про это на “Форуме поисковых систем”, то подумал что обманывают, и такого вируса быть не может, и уж тем более мне это не грозит. Но на днях обнаружил на своих сайтах вирусные коды.

Создалось впечатление, что код в сайты внедрялся в автоматическом режиме (неаккуратно и местами некорректно). Время внедрения 2 часа ночи, у меня в это время компьютер был выключен, значит, у владельца троянской программы уже были пароли к FTP.

Как проверить свои сайты

Пройдитесь по своим сайтам и посмотрите в код. Инфрейм обычно находится внизу страницы, под всем кодом.

Если Вы обнаружили чужеродный код, то нужно оперативно его убрать со всех страниц сайта и сменить пароли для доступа к FTP и акаунту на хостинге.

Вообще лучше соблюдать меры, чтобы предотвратить заражение.

Рекомендации по безопасности

Пользуйтесь альтернативными браузерами Opera или Mozilla Firefox, они неподвержены данной уязвимости.

Заблокируйте в файрволе скрытые фреймы. В Outpost Firewall это делается так: Параметры – Подключаемые модули – Интерактивные элементы – Свойства – Скрытые фреймы – установите переключатель в положение “Запретить”.

Не храните пароли к FTP в FTP-клиентах. При внедрении троянской программы злоумышленнику не составит никакого труда взять пароли.

Выполняйте регулярные обновления системы и антивируса. Это не защитит Вас от редких или новых вирусов, но сильно уменьшит вероятность заражения.

Регулярно делайте резервные копии сайта. Лучше, если у Вас будет ежедневный бекап с сохранением предыдущих бекапов хотя бы за неделю.

Не забывайте про Ваши сайты и регулярно проверяйте их жизнеспособность. Несколько суток простоя чревато выпадением сайта из индекса поисковых систем.

Внедренный вирус это причина, по которой Гугл выбрасывает из индекса. Для англоязычных сайтов это 100%, т.к. уже был прецедент с сайтом очень известной компании. Их сайт восстановили через месяц, но Вы же не крупная и известная компания, и процесс восстановления может затянутся.

Выводы

Совершенно очевидно, что данный вирус создали в коммерческих целях, и возможно это пока только тестирование. Целью троянской программы может быть все что угодно, и распространяется она весьма агрессивно.

Также возможно внедрение в сайты кода со ссылками на дорвеи и “плохие” сайты. Пользователь и Веб-мастер могут их вовсе не заметить, зато поисковая система учтет. Дорвеям повышение рейтинга а Вашему сайту бан.

В свете этих событий нужно ужесточить меры по безопасности. Если раньше делали простые дефейсы чтобы показать друзьям, с то сейчас коммерческая направленность проявляется все больше и четче. Есть 1000 способов использовать Ваш сайт в коммерческих целях без Вашего ведома. Будьте бдительны!

Есть 13 коммент.

1. baby   |  Вторник, 01 мая 2007 at 8:40 пп

   спасибо, слышала уже о таком от знакомых, но мне повезло. Я лисой (фф) пользуюсь

   
2. Александр   |  Четверг, 03 мая 2007 at 4:24 пп

   Спасибо за информацию, но она немножко позновата я уже попался, меня сломали, и через меня поламали сервак хостера на котором сижу в целях нероспостряниния не пишу адрес сайта. Так как могут узнать адрес хостера и его рейтинг упадет.

   
3. Довбня Сергей   |  Четверг, 03 мая 2007 at 5:26 пп

   Та бывает. У хостеров и не такое бывает, причем в одинаковой мере и у дорогих и у дешевых.

   Судя по всему уже несколько разновидностей данного троянца есть. Уж очень широка сфера применения: полученые ссылок с взломаных ресурсов, спам, слив скриптов и баз данных и еще много занимательного.

   Нужно бдительность соблюдать.

   
4. Kallisto   |  Четверг, 03 мая 2007 at 9:03 пп

   Привет.
   Нормальная статья, но недостаточно информации по безопасности.

   Также не рекомендуется использовать новые билды ФФ и оперы, так как они еще не оттестированы.

   и прочие нюансы.

   Если заинтерисовало – отпиши мне на мыль, пообщаемся на эту тему…

   
5. Meloman   |  Понедельник, 07 мая 2007 at 11:26 дп

   Да пока сами разработчики не подтвердят плагины, нельзя их устанавливать.

   
6. Freiman   |  Вторник, 08 мая 2007 at 2:15 пп

   Думаю, что дело не только в IE. Некоторые версии FF также подвержены уязвимости.

   FAR особенно подвержен этой хрени, не знаю уж, с чем это связано..

   
7. cerkovsky   |  Вторник, 15 мая 2007 at 1:30 пп

   Я тоже попался, но вырубило меня то, что этот троян сменил код рисунка INDEX.GIF на свой iframe bla bla bla!

   
8. тумук   |  Среда, 06 июня 2007 at 4:06 пп

   Причем тут вообще хостер? Это вирус для клиентской машины. На хостеров как обычно вину сливают, даже не разобравшись в проблеме

   
9. Довбня Сергей   |  Среда, 06 июня 2007 at 6:21 пп

   >> Причем тут вообще хостер

   Под линуксом тоже вирусы бывают. Если почитать статьи вирусмейкеров, то можно узнать много навороченых и сложных алгоритмов, и это только то, что есть в паблик.

   У себя я ничего так и не нашел, хотя машину сканировал разными антивирусами с актуальными базами. Может плохо искал.

   Хостера я не обвинял (думаю мне бы сказали, не первый год знакомы). Я только предположил такую возможность.

   
10. guly   |  Четверг, 16 августа 2007 at 2:50 дп

    как обнаружить код чужеродного вируса и истребить его?

    
11. Довбня Сергей   |  Четверг, 16 августа 2007 at 7:19 дп

    >>как обнаружить код чужеродного вируса и истребить его?

    Вопервых установить антивирус и фейрвол. Или антивирус ругатся начнет, или фейрвол на подозрительное приложение, лезущеее в сеть.

    Если не поможет, копаться в реестре, в секции автозагрузки. Хотя троян может загружатся как плагин вместе с браузером.

    Почитайте тематические сайты по безопасности.

    
12. Stim   |  Вторник, 25 марта 2008 at 5:48 пп

    Благо-ря вашей статье починил сайт действительно вредоносный код находится в низу страници(а точнее в 2-х местах)wp-admin и в самом корне сайта ) . У меня вопрос после очистки “вредоносного кода” у меня пропала возможность заходить в админку (т.е. выдаёт пустой лист)как это дело поправить?

    
13. Довбня Сергей   |  Среда, 26 марта 2008 at 12:06 пп

    Stim, просто скопируйте файлы из дистрибутива WordPress (той же версии), заменив ними “сломаные”, и все должно заработать.