Symantec: detalii despre acțiunea troian Trojan.Milicenso
Symantec dezvaluie detalii despre amenințarea Trojan.Milicenso, care a devenit cunoscut pentru efectul său lateral - trimiterea lucrărilor de imprimare.
Imprimantele au imprimat seturi de caractere aleatoare până când nu au ieșit din hârtie. În cadrul cercetărilor suplimentare, a fost posibil să se stabilească faptul că acest software rău intenționat este descărcat utilizând un atac web de redirecționare .htaccess și că cel puțin 4 000 de site-uri web au fost compromise de grupul responsabil pentru această amenințare.
Fișierul .htaccess conține datele de configurare ale serverului web utilizate de administratorul web pentru a gestiona traficul de rețea. De exemplu, să refuzați accesul la anumite pagini, să redirecționați cereri pentru dispozitive mobile către site-uri speciale și așa mai departe. Pentru a monitoriza traficul în rețea cu site-urile legitime, atacatorii (și unele seturi de programe malware gata făcute) utilizează vulnerabilitatea serverelor Web pentru a modifica fișierul .htaccess. Când un utilizator navighează printr-un link, browserul solicită accesul la site-ul compromis. Serverul web redirecționează utilizatorul către un site rău intenționat folosind datele din fișierul .htaccess, despre care utilizatorul nu este avertizat, astfel încât el nu are nicio idee despre ce sa întâmplat în spatele scenei. Între timp, poate exista o mulțime de amenințări pe site-ul infectat, potențial capabil să exploateze anumite vulnerabilități ale PC-ului.
Sistemul a fost foarte atent conceput pentru a preveni detectarea infecțiilor de către utilizatori sau cercetători externi. O solicitare către un site compromis este redirecționată către o pagină rău intenționată numai dacă sunt îndeplinite anumite condiții:
1. Aceasta este prima vizită pe site (nu se face nici o redirecționare ulterioară la vizitele ulterioare);
3. Amenințarea funcționează doar pe platforma Windows (pe alte platforme, nu are loc redirecționarea);
În ultimele zile, Symantec a detectat aproape 4.000 de site-uri unice hacked care redirecționează utilizatorii către resurse rău intenționate. Cele mai multe dintre acestea sunt pagini personale sau site-uri web ale companiilor mijlocii și mici, însă lista cuprinde și organizații de stat, de telecomunicații și financiare ale căror site-uri web au fost, de asemenea, compromise. Cele mai multe dintre ele se află în domeniul .com, urmat de .org și .net. Dintre cele peste 90 de țări de pe această listă, Europa și America Latină reprezintă cea mai mare parte a site-urilor hacked, ceea ce corespunde răspândirii virusului Trojan.Milicenso.