Сайт «Альфастрахования» распространял трояны через эротику
Акция по привлечению посетителей на сайт «Альфастрахования» была запущена 25 ноября. На главной странице сайта была установлена закладка - при многократном (5-8 раз) нажатии на номер телефона компании запускался swf-мультфильм эротического содержания, сопровожденный призывом воспользоваться страховыми услугами компании.
Информация об этом распространялась по Сети методом вирусного маркетинга - корреспондент CNews за вчерашний день получил по ICQ ссылку на сайт и инструкцию по запуску ролика 5 раз. По данным Rambler Top100, за вчерашний день главную страницу сайта 68 тыс. человек посетили 142,5 тыс. раз, что сопоставимо с недельной нормой посещаемости ресурса.
Вскоре после старта рекламной кампании обнаружилось, что в код главной страницы внедрена троянская программа Trojan-Spy.Win32.Zbot.gkj. По информации «Лаборатории Касперского», она была внесена в антивирусную базу 16 ноября 2008 г., и антивирусные продукты компании ее детектировали, не рекомендуя сайт к посещению.
«Посетителям грозил сам факт посещения этого сайта: при установленных на компьютере устаревших версий Acrobat Reader (плагин которого редко обновляется пользователями) либо Microsoft Access автоматически запускались файлы browsser.exe и ntos.exe, которые воровали все пароли пользователя и делали его компьютер частью ботнета», - пояснил CNews ведущий эксперт «Лаборатории Касперского» Виталий Денисов: «Связка эксплоитов, подобная этой, показывает уровень заражений до 15%. Таким образом, число потенциально инфицированных пользователей исчисляется тысячами человек».
Кадр эротического ролика про «Альфастрахование»
Учитывая «аккуратность» расположения трояна в коде, в «Касперском» не исключают, что вредоносная программа была подсажена на сайт вручную. Источники CNews в «Лаборатории» предполагают, что в построенном на CMS «Битрикс» сайте «Альфастрахования» была отключена внутренняя защита по контрольной сумме, что позволило трояну остаться незамеченным.
В «Лаборатории Касперского» не располагают детальной информацией о функциональности именно этого трояна, но семейству Zbot, к которому он относится, свойственно после инсталляции себя в систему, похищать пользовательские пароли, перехватывать данные, вводимые в формы браузеров и контролировать адреса банков и платежных систем - таким образом происходит кража аккаунтов. Трояны Zbot способны перехватывать нажатие кнопки мыши и делать в этот момент скриншоты.
Интересно, что, хотя проблема с главной страницей была заметна еще вчера, 25 ноября, днем 26-го flash-ролик еще запускался, и антивирусные программы детектировали в нем троян.
Начальник отдела информационной безопасности «Альфастрахования» Артем Кроликов согласен с выводами специалистов «Касперского». Он подтвердил CNews, что «локализация проблемы вызвала некоторые трудности», и поэтому троян был удален с главной страницы к вечеру 26 ноября. Вместе с ним был удален и эротическо-рекламный ролик.
По поводу появления вредоносной программы в «Альфастраховании» проводится служебное расследование. До его окончания Артем Кроликов отказался делать выводы в отношении виновных в инциденте, но не исключил, что к нему могут быть причастны сотрудники разработчика сайта.
При этом PR-менеджер «Альфастрахования» Елена Бумагина заявила CNews, что ее компания сейчас не проводит никаких рекламных акций, а о ситуации с заражением главной страницы сайта ей ничего не известно.
По информации CNews, корпоративные правила «Альфастрахования» запрещают пользоваться на рабочем месте интернет-мессенджерами, поэтому сами сотрудники компании от риска заражения были избавлены.
По словам Виталия Денисова из «Лаборатории Касперского», сегодня большинство антивирусов успешно распознают троян на этапе загрузки (вчера его не блокировали Nod32 и Trend Micro). Кроме того, еще со вчерашнего вечера браузер Firefox, использующий базу вредоносных сайтов Google, блокирует вредоносный сервер google-analyze, с которого осуществлялась загрузка вируса.
