Na łamach Dziennika Analityków pojawiła się informacja, która powinna zainteresować wielu z administratorów. Specjaliści zwiazani z Kaspersky Lab wykryli nowy zmasowany atak cyberprzestępców na strony internetowe i radzą jakie adresy najlepiej zablokować.

Na zainfekowanych stronach przestępcy umieszczają linki do zainfekowanych serwerów. Szacuje się, że w ciągu ostatnich dni kilkanaście tysięcy serwerów (wiekszość zaatakowanych stron wykorzystuje ten sam typ silnika ASP), głównie w Europie Zachodniej i Ameryce. Na razie nie wiadomo, kto stoi za tymi atakami.

Przeprowadzane ataki polegają na dodaniu znacznika (script src=http://******/h.js) do kodu html atakowanych stron. Prowadzi to do skryptu Java zlokalizowanego na jednym z sześciu serwerów - serwery pełnią rolę bram służących do dalszego przekierowywania żądań.

Sugeruje się więc zablokowanie do stron w domenie:
armsart.com
acglgoa.com
idea21.org
yrwap.cn
s4d.in
dbios.org

Po odwiedzeniu jednej z wybranych użytkownik zostanie automatycznie przekierowany na zainfekowany serwer o nazwie vvexe.com, który jest zlokalizowany w Chinach, pelny exploitów do przeprowadzania ataków na maszyny użytkowników.

Najczęściej wykorzystywane są luki, które były latane w ostatnim czasie.

KAV wykrył na tym serwerze takie złosliwe kody jak:
Trojan-Downloader.HTML.Agent.ls
Trojan-Downloader.SWF.Agent.ae
Trojan-Downloader.SWF.Agent.ad
Trojan-Downloader.SWF.Agent.af
Trojan-Downloader.SWF.Small.em
Trojan-Downloader.SWF.Small.en
Trojan-Downloader.JS.Agent.cwt
Trojan-Downloader.JS.Agent.cwu
Trojan-Downloader.JS.Agent.cww
Trojan-Downloader.JS.Agent.cwv
Trojan-Downloader.JS.Agent.cwx
Trojan-Downloader.JS.Agent.cwy
Exploit.JS.Agent.xu
Trojan-Dropper.JS.Agent.z

Wystarczy, by maszyna była podatna na ataki jednego z tych exploitów, aby została zainfekowana przez inne szkodliwe programy takie jak:
Trojan-Downloader.Win32.Hah.a. - Trojan ten pobiera więcej szkodliwych programów - szczegóły dotyczące tych programów znajdują się w pliku konfiguracyjnym na stronie vvexe.com.
Trojan-GameThief.Win32.WOW.cer - trojan, którego celem jest kradzież danych dotyczących kont gry World of Warcraft.
Trojan-Spy.Win32.Pophot.gen - kolejny trojan szpiegujący, który kradnie dane i próbuje usunąć szereg różnych rozwiązań antywirusowych.
Trojan.Win32.Agent.alzv - trojan ten pobiera kolejne trojany szpiegujące: Trojan-PSW.Win32.Delf.ctw, Trojan-PSW.Win32.Delf.ctx, Trojan-PSW.Win32.Delf.cty.