Вчера от одного из пользователей Антивируса Касперского поступил сигнал о непонятных действиях браузера при просмотре сайта www.5757.ru: самопроизвольно открывалась вторая страница, и веб-антивирус показывал предупреждение о скачивании троянской программы. На этот сайт пользователь зашел, увидев рекламу по телевидению.
В процессе анализа страницы выяснилось, что пользователь едва не стал жертвой атаки злоумышленников. В главную страницу сайта был встроен скрипт закачки троянской программы Trojan-Downloader.JS.Psyme.ct, которая в свою очередь пыталась закачать и запустить программу Trojan-Downloader.Win32.Tiny.eo. В данный момент с сайта загружается уже другая троянская программа:
Отметим, что веб-антивирус (модуль постоянной защиты Антивируса Касперского 6.0, предохраняющий от исполнения вредоносного кода в браузере) успешно отразил атаку перечисленных выше троянских программ на компьютер пользователя.
Дальнейшее исследование показало, что помимо сайта www.5757.ru хакерской атаке подверглись не менее 470 серверов (результат запроса в Google по строке из внедренного скрипта). Общим для этих серверов было одно: все они были расположены на площадке хостинг-провайдера Valuehost. Администрация Valuehost уведомлена о наличии уязвимости на их серверах, через которую заражаются виртуальные серверы их клиентов.
Valuehost — крупнейший хостинг-провайдер в России, который оказывает услуги веб-хостинга с 2000 года. В сети Valuehost размещается более 60 тысяч Российских веб-сайтов. Компания имеет собственную глобальную IP-сеть, построенную на магистральных маршрутизаторах Juniper M7i и Cisco GSR 12016.
Заражение серверов Valuehost