Троянский вирус распространялся посредством 20 тысяч российских сайтов

Специалисты антивирусной компании Dr.Web обнаружили массовый взлом российских сайтов. Всего по данным компании было взломано порядка 20 тысяч сайтов. 

Пользователям, посетившим их, предлагалось загрузить особые драйвера, однако под их видом пользователи закачивали вредоносное программное обеспечение.  Вирус типа «троянец» уже получил название Trojan.Mayachok.1. 

Предполагают, что злоумышленники каким-то образом завладели паролями от FTP-клиентов администрации взломанных сайтов. Получить доступ они могли, так же используя троянские программы. 

На 31 августа специалистами антивирусной компании было выявлено около 21 тысячи веб-адресов, посредством которых распространяли вредоносное ПО. На взломанных сайтах был обнаружен отдельный подсайт, никак не связанный с основной тематикой сайта, который и предлагал скачать вирус под видом особых драйверов. 

Попав на жесткий диск пользователя, троянец создает в системной папке system32  библиотеку, имя которой сгенерировано на основе номера текущего раздела жесткого диска. После его он создает собственную копию называющуюся  «flash_player.update.exe» во временном каталоге и начинает запускать этот файл каждые 10 секунд. 

После чего троянцем вносится ряд изменений в системном реестре Windows и сохраняется в конфигурационный файл  в одной из системных папок Windows. 

В конечном итоге, открывая какой-либо популярный сайт, пользователь перенаправляется на специальный веб-адрес, по которому требуют подтвердить свой аккаунт. Для этого нужно указать свой номер мобильного телефона и ответить на входящее SMS сообщение. 

В списке блокируемых троянцем сайтов, который хранится в конфигурационном файле в одной из системных папок на компьютере пользователя, присутствуют такие популярный ресурсы, как vkontakte.ru, youtube.ru, odnoklassniki.ru  и остальные.