На официальном сайте компании «Альфа-Страхование» обнаружена троянская программа Trojan-Spy.Win32.Zbot.gkj.
Заражение шпионской программой происходило при посещении сайта www.alfastrah.ru. Анализ главной страницы ресурса выявил наличие в HTML-коде скрипта, осуществляющего загрузку эксплойта, а затем троянской программы на компьютер пользователя. Увеличению численности потенциально зараженных машин способствовало размещение на первой странице сайта flash-ролика, распространявшегося с применением методов вирусного маркетинга.
Вредоносная программа Trojan-Spy.Win32.Zbot.gkj принадлежит к семейству Zbot — классу удаленно контролируемого шпионского ПО, ориентированного на кражу персональной информации. Компьютер, зараженный данной троянской программой, становится частью зомби-сети (ботнета). Представители семейства Zbot обладают широким функционалом: такие программы способны осуществлять кражу сертификатов и паролей, перехватывая все отправляемые через онлайн-формы данные, обходить виртуальные клавиатуры, перенаправлять запросы пользователя на подложные (фишинговые) сайты.
Осуществить взлом сайта возможно различными способами. Самый простой из которых заключается в воровстве паролей администратора при помощи троянской программы. Важно другое: в данном случае действия злоумышленников оставались незамеченными в течение длительного времени, что при наличии высокой посещаемости ресурса могло привести к массовому заражению компьютеров пользователей.
Сигнатуры Trojan-Spy.Win32.Zbot.gkj были добавлены в антивирусные базы «Лаборатории Касперского» еще 16 ноября 2008 года. Оперативно обнаружить троянскую программу удалось благодаря специальной технологии контроля активности приложений (Host Intrusion Prevention System — HIPS), реализованной в новой продуктовой линейке персональных продуктов версии 2009.
Стоит отметить, что меры защиты от подобного взлома достаточно просты и сводятся к двум направлениям:
- Повышение уровня безопасности ПК системного администратора и WEB мастеров. Прежде всего, необходимо использовать эффективные средства антивирусной защиты и отказаться от сохранения паролей и любых личных данных в браузере, FAR, FTP менеджерах и иных программах.
- Организациям стоит проводить постоянный внутренний аудит сайта (в частности анализ контрольных сумм, мониторинг всех изменений), а также периодический аудит безопасности ресурса с привлечением сторонних специалистов и специальных программных средств.
Вирусная реклама помогла распространению зловреда