Блог об электронной коммерции

Вниманию всех владельцев сайтов!

Появилась троянская программа нового поколения. Если у Вас есть Веб-сайт значит Вы в группе риска. Не игнорируйте данное сообщение, срочно проверьте свои сайты и примите меры по повышению безопасности.

Как внедряется и работает троянская программа

При заходе браузером Internet Explorer на зараженную страницу происходит внедрение троянской программы.

Windows XP SP2, Internet Explorer пропатченный, DrWeb с актуальными базами, Outpost Firewall 4 - эти меры мне не помогли избежать заражения. Internet Explorer я не пользуюсь для серфинга, но использую AllSubmitter, который построен на ядре Internet Explorer.

Из чего вывод: данная троянская программа пока не блокируется штатными средствами и уязвимости подвержены все приложения, использующие ядро Internet Explorer.

Далее программа берет все логины и пароли из программ для работы с FTP и передает их владельцу троянской программы.

Владелец внедряет в Ваш сайт в невидимом фрейме страницу с троянской программой. В итоге все посетители Вашего сайта тоже заражаются.

Когда я впервые услышал про это на "Форуме поисковых систем", то подумал что обманывают, и такого вируса быть не может, и уж тем более мне это не грозит. Но на днях обнаружил на своих сайтах вирусные коды.

Создалось впечатление, что код в сайты внедрялся в автоматическом режиме (неаккуратно и местами некорректно). Время внедрения 2 часа ночи, у меня в это время компьютер был выключен, значит, у владельца троянской программы уже были пароли к FTP.

Как проверить свои сайты

Пройдитесь по своим сайтам и посмотрите в код. Инфрейм обычно находится внизу страницы, под всем кодом.

Если Вы обнаружили чужеродный код, то нужно оперативно его убрать со всех страниц сайта и сменить пароли для доступа к FTP и акаунту на хостинге.

Вообще лучше соблюдать меры, чтобы предотвратить заражение.

Рекомендации по безопасности

Пользуйтесь альтернативными браузерами Opera или Mozilla Firefox, они неподвержены данной уязвимости.

Заблокируйте в файрволе скрытые фреймы. В Outpost Firewall это делается так: Параметры - Подключаемые модули - Интерактивные элементы - Свойства - Скрытые фреймы - установите переключатель в положение "Запретить".

Не храните пароли к FTP в FTP-клиентах. При внедрении троянской программы злоумышленнику не составит никакого труда взять пароли.

Выполняйте регулярные обновления системы и антивируса. Это не защитит Вас от редких или новых вирусов, но сильно уменьшит вероятность заражения.

Регулярно делайте резервные копии сайта. Лучше, если у Вас будет ежедневный бекап с сохранением предыдущих бекапов хотя бы за неделю.

Не забывайте про Ваши сайты и регулярно проверяйте их жизнеспособность. Несколько суток простоя чревато выпадением сайта из индекса поисковых систем.

Внедренный вирус это причина, по которой Гугл выбрасывает из индекса. Для англоязычных сайтов это 100%, т.к. уже был прецедент с сайтом очень известной компании. Их сайт восстановили через месяц, но Вы же не крупная и известная компания, и процесс восстановления может затянутся.

Выводы

Совершенно очевидно, что данный вирус создали в коммерческих целях, и возможно это пока только тестирование. Целью троянской программы может быть все что угодно, и распространяется она весьма агрессивно.

Также возможно внедрение в сайты кода со ссылками на дорвеи и "плохие" сайты. Пользователь и Веб-мастер могут их вовсе не заметить, зато поисковая система учтет. Дорвеям повышение рейтинга а Вашему сайту бан.

В свете этих событий нужно ужесточить меры по безопасности. Если раньше делали простые дефейсы чтобы показать друзьям, с то сейчас коммерческая направленность проявляется все больше и четче. Есть 1000 способов использовать Ваш сайт в коммерческих целях без Вашего ведома. Будьте бдительны!