Злоумышленники взломали 21 000 сайтов в Рунете для распространения Trojan.Mayachok

Специалистами компании “Доктор Веб” был обнаружен массовый взлом веб-сайтов, с которых на пользовательские компьютеры под видом драйверов выполнялась загрузка вредоносного ПО, которое включает известного троянца Trojan.Mayachok.1.

Сотрудники антивирусной лаборатории компании “Доктор Веб” обнаружили немало веб-сайтов, которые имеют в своей структуре отдельный подсайт, ничем не связанный с основной тематикой данных интернетовских ресурсов. Оформление страниц, являющихся “встроенными”, отличатся лишь в незначительной степени. Всеми ими для пользователей предлагается загрузка драйверов разных устройств. Пройдя по ссылке на файл драйвера, выполняется перенаправление пользователя на промежуточный сайт, а потом уже на другой ресурс, где под видом драйвера выполняется загрузка троянской программы Trojan.Mayachok.1. Кроме этого, ссылки с некоторых взломанных сайтов перенаправляют на службы файлового обмена, являющиеся поддельными. В августе текущего года количество адресов веб-сайтов, которые распространяют это вредоносное ПО, превысило 21000. Предполагается, что владельцы или администраторы этих сайтов стали жертвами хищения паролей от FTP-клиентов, для этого злоумышленники могли использовать различные троянские программы.

От рук злоумышленников пострадали десятки тысяч различных ресурсов, среди них оказались серверы общества “Православная семья”, сайт организации буддистов в России, а так же другие различные сайты как коммерческих, так и некоммерческих организаций.

Вредоносной программой Trojan.Mayachok.1 ведётся блокировка нормальной работы браузеров на инфицируемом компьютере. В июле текущего года атака этой троянской программы была совершена на пользователей интернет-провайдера “Ростелеком”, в августе, по данным статистики, Trojan.Mayachok.1 стал самой распространённой угрозой.

Всегда, пытаясь открыть в браузере любой сайт, Trojan.Mayachok.1 выполняет перенаправление пользователя на URL, заранее определённый, при этом демонстрирует в окне браузера веб-страницу, которой предлагается “активация” или “подтверждение” аккаунта с указанием своего номера телефона и ответа на входящее SMS. Среди сайтов, которые были блокированы троянцем, были замечены vkontakte.ru, my.mail.ru, youtube.com, odnoklassniki.ru, support.akado.ru, rostelecom.ru. Совершив запуск на инфицированном компьютере, в каталоге system32 троянцем создаётся библиотека с именем, которое сгенерировано на основе серийного номера данного раздела жёсткого диска, потом он выполняет копирование себя во временный каталог flash_player_update.exe, и выполняет запуск этого файла через каждые 10 секунд. Затем троянцем вносятся изменения в реестр системы Windows, и перезагружается компьютер. Далее Trojan.Mayachok.1 в каталоге C:Documents and SettingsAll UsersApplication Datacf сохраняет собственный конфигурационный файл, который содержит перечень блокируемых сайтов, а так же адреса серверов, которые являются управляющими, и скрипты, встраивающиеся в веб-страницы, запрашиваемые пользователем.