Компания «Доктор Веб» информирует об увеличении количества инцидентов с взломом интернет-ресурсов с целью дальнейшего распространения вредоносных приложений Trojan.Hosts. Масштабы инфицирования по данным на начало 2013 года приняли характер эпидемии. Максимальная скорость распространения вирусов Trojan.Hosts составляла почти 9500 заражений в сутки. В марте скорость распространения несколько снизилась и составила порядка 8000 компьютеров в день.
Взлом интернет-сайтов происходил через протокол FTP, при помощи которого мошенники подключались к сайту при помощи похищенных ранее данных аутентификации. Далее на хостинг сайта загружается командный интерпретатор, предназначенный для редактирования файла .htacess и загрузки на сайт дополнительного вредоносного скрипта.
После этого, при открытии инфицированного сайта скрипт демонстрирует посетителю страницу, которая содержит список ссылок на вредоносные программы. Именно по такой схеме и распространяется семейство вирусов Trojan.Hosts.
Стоит отметить, что троянские приложения данного семейства распространяются и другими способами. Например, была налажена работа несколько партнерских схем, через которые злоумышленники выплачивали определенное вознаграждение с сумы, полученной с жертвы. Таким образом, вирусы могут проникать в систему и другими путями – при помощи особых троянцев-загрузчиков или бэкдоров.
Напомним, основной функционал вирусов семейства Trojan.Hosts заключается в редактировании файла hosts, отвечающий за трансляцию интернет-адресов сайтов (расположен в каталоге Windows). После модификации данного файла пользователь, пытающийся открыть один из популярных сайтов, перенаправляются на вредоносную страницу.
Подавляющее большинство троянских программ семейства Trojan.Hosts успешно детектируются и удаляются антивирусными программами. Кроме того, большинство антивирусов имеют инструменты, отслеживающие редактирование файла host.