Сайт «Альфастрахования» распространял трояны через эротику

Интернет Безопасность Интернет-реклама Веб-сервисы Стратегия безопасности Пользователю Администратору
мобильная версия
, Текст: Владислав Мещеряков
Во время кампании по увеличению трафика главная страница сайта компании «Альфастрахование» заражала посетителей трояном через эротико-рекламный мультфильм.

Акция по привлечению посетителей на сайт «Альфастрахования» была запущена 25 ноября. На главной странице сайта была установлена закладка - при многократном (5-8 раз) нажатии на номер телефона компании запускался swf-мультфильм эротического содержания, сопровожденный призывом воспользоваться страховыми услугами компании.

Информация об этом распространялась по Сети методом вирусного маркетинга - корреспондент CNews за вчерашний день получил по ICQ ссылку на сайт и инструкцию по запуску ролика 5 раз. По данным Rambler Top100, за вчерашний день главную страницу сайта 68 тыс. человек посетили 142,5 тыс. раз, что сопоставимо с недельной нормой посещаемости ресурса.

Вскоре после старта рекламной кампании обнаружилось, что в код главной страницы внедрена троянская программа Trojan-Spy.Win32.Zbot.gkj. По информации «Лаборатории Касперского», она была внесена в антивирусную базу 16 ноября 2008 г., и антивирусные продукты компании ее детектировали, не рекомендуя сайт к посещению.

«Посетителям грозил сам факт посещения этого сайта: при установленных на компьютере устаревших версий Acrobat Reader (плагин которого редко обновляется пользователями) либо Microsoft Access автоматически запускались файлы browsser.exe и ntos.exe, которые воровали все пароли пользователя и делали его компьютер частью ботнета», - пояснил CNews ведущий эксперт «Лаборатории Касперского» Виталий Денисов: «Связка эксплоитов, подобная этой, показывает уровень заражений до 15%. Таким образом, число потенциально инфицированных пользователей исчисляется тысячами человек».


Кадр эротического ролика про «Альфастрахование»

Учитывая «аккуратность» расположения трояна в коде, в «Касперском» не исключают, что вредоносная программа была подсажена на сайт вручную. Источники CNews в «Лаборатории» предполагают, что в построенном на CMS «Битрикс» сайте «Альфастрахования» была отключена внутренняя защита по контрольной сумме, что позволило трояну остаться незамеченным.

В «Лаборатории Касперского» не располагают детальной информацией о функциональности именно этого трояна, но семейству Zbot, к которому он относится, свойственно после инсталляции себя в систему, похищать пользовательские пароли, перехватывать данные, вводимые в формы браузеров и контролировать адреса банков и платежных систем - таким образом происходит кража аккаунтов. Трояны Zbot способны перехватывать нажатие кнопки мыши и делать в этот момент скриншоты.

Интересно, что, хотя проблема с главной страницей была заметна еще вчера, 25 ноября, днем 26-го flash-ролик еще запускался, и антивирусные программы детектировали в нем троян.

Начальник отдела информационной безопасности «Альфастрахования» Артем Кроликов согласен с выводами специалистов «Касперского». Он подтвердил CNews, что «локализация проблемы вызвала некоторые трудности», и поэтому троян был удален с главной страницы к вечеру 26 ноября. Вместе с ним был удален и эротическо-рекламный ролик.

По поводу появления вредоносной программы в «Альфастраховании» проводится служебное расследование. До его окончания Артем Кроликов отказался делать выводы в отношении виновных в инциденте, но не исключил, что к нему могут быть причастны сотрудники разработчика сайта.

При этом PR-менеджер «Альфастрахования» Елена Бумагина заявила CNews, что ее компания сейчас не проводит никаких рекламных акций, а о ситуации с заражением главной страницы сайта ей ничего не известно.

По информации CNews, корпоративные правила «Альфастрахования» запрещают пользоваться на рабочем месте интернет-мессенджерами, поэтому сами сотрудники компании от риска заражения были избавлены.

По словам Виталия Денисова из «Лаборатории Касперского», сегодня большинство антивирусов успешно распознают троян на этапе загрузки (вчера его не блокировали Nod32 и Trend Micro). Кроме того, еще со вчерашнего вечера браузер Firefox, использующий базу вредоносных сайтов Google, блокирует вредоносный сервер google-analyze, с которого осуществлялась загрузка вируса.