Вирусная реклама помогла распространению зловреда

На официальном сайте компании «Альфа-Страхование» обнаружена троянская программа Trojan-Spy.Win32.Zbot.gkj.

Заражение шпионской программой происходило при посещении сайта www.alfastrah.ru. Анализ главной страницы ресурса выявил наличие в HTML-коде скрипта, осуществляющего загрузку эксплойта, а затем троянской программы на компьютер пользователя. Увеличению численности потенциально зараженных машин способствовало размещение на первой странице сайта flash-ролика, распространявшегося с применением методов вирусного маркетинга.

Вредоносная программа Trojan-Spy.Win32.Zbot.gkj принадлежит к семейству Zbot — классу удаленно контролируемого шпионского ПО, ориентированного на кражу персональной информации. Компьютер, зараженный данной троянской программой, становится частью зомби-сети (ботнета). Представители семейства Zbot обладают широким функционалом: такие программы способны осуществлять кражу сертификатов и паролей, перехватывая все отправляемые через онлайн-формы данные, обходить виртуальные клавиатуры, перенаправлять запросы пользователя на подложные (фишинговые) сайты.

Осуществить взлом сайта возможно различными способами. Самый простой из которых заключается в воровстве паролей администратора при помощи троянской программы. Важно другое: в данном случае действия злоумышленников оставались незамеченными в течение длительного времени, что при наличии высокой посещаемости ресурса могло привести к массовому заражению компьютеров пользователей.

Сигнатуры Trojan-Spy.Win32.Zbot.gkj были добавлены в антивирусные базы «Лаборатории Касперского» еще 16 ноября 2008 года. Оперативно обнаружить троянскую программу удалось благодаря специальной технологии контроля активности приложений (Host Intrusion Prevention System — HIPS), реализованной в новой продуктовой линейке персональных продуктов версии 2009.

Стоит отметить, что меры защиты от подобного взлома достаточно просты и сводятся к двум направлениям:

• Повышение уровня безопасности ПК системного администратора и WEB мастеров. Прежде всего, необходимо использовать эффективные средства антивирусной защиты и отказаться от сохранения паролей и любых личных данных в браузере, FAR, FTP менеджерах и иных программах.
• Организациям стоит проводить постоянный внутренний аудит сайта (в частности анализ контрольных сумм, мониторинг всех изменений), а также периодический аудит безопасности ресурса с привлечением сторонних специалистов и специальных программных средств.