.jpg) |
| На рисунке представлен модифицированный файл .htaccess. Чтобы не привлекать внимания сетевых администраторов, атакующий вставил в оригинал более 800 пустых строк как в начале, так и в конце файла. |
Оказалось, что данная вредоносная программа загружается при помощи веб-атаки перенаправления .htaccess.
Файл .htaccess содержит конфигурационные данные веб-сервера, используемые веб-администратором для управления сетевым трафиком.
.jpg) |
| Конфигурация файла .htaccess, обеспечивающая перенаправление на вредоносный сайт |
Перенаправление через .htaccess происходит следующим образом. При переходе пользователя по ссылке браузер запрашивает доступ к скомпрометированному сайту. Затем, используя данные из файла .htaccess, веб-сервер без дополнительных уведомлений перенаправляет пользователя на вредоносный сайт, где может находиться множество угроз.
Чтобы не допустить обнаружения инфекции, запрос к скомпрометированному сайту перенаправляется на вредоносную страницу только при выполнении целого ряда условий: это первое посещение сайта, ссылка открывается из поисковой системы (а не вписывается вручную), компьютер работает под управлением Windows, а также используется браузер, поддерживающий переадресацию.
Изучение журналов позволило определить, что группировка использует данную технологию как минимум с 2010 года. За последние несколько дней специалисты Symantec обнаружили почти 4 тыс. взломанных ресурсов, принадлежащих средним и малым компаниям, а также финансовым и государственным организациям. Большая их часть приходится на домен .com, за которым следуют .org и .net.
.jpg)