Разделы

Безопасность Администратору Пользователю Стратегия безопасности Интернет Веб-сервисы Интернет-реклама Маркет

Сайт «Альфастрахования» распространял трояны через эротику

Во время кампании по увеличению трафика главная страница сайта компании «Альфастрахование» заражала посетителей трояном через эротико-рекламный мультфильм.

Акция по привлечению посетителей на сайт «Альфастрахования» была запущена 25 ноября. На главной странице сайта была установлена закладка - при многократном (5-8 раз) нажатии на номер телефона компании запускался swf-мультфильм эротического содержания, сопровожденный призывом воспользоваться страховыми услугами компании.

Информация об этом распространялась по Сети методом вирусного маркетинга - корреспондент CNews за вчерашний день получил по ICQ ссылку на сайт и инструкцию по запуску ролика 5 раз. По данным Rambler Top100, за вчерашний день главную страницу сайта 68 тыс. человек посетили 142,5 тыс. раз, что сопоставимо с недельной нормой посещаемости ресурса.

Вскоре после старта рекламной кампании обнаружилось, что в код главной страницы внедрена троянская программа Trojan-Spy.Win32.Zbot.gkj. По информации «Лаборатории Касперского», она была внесена в антивирусную базу 16 ноября 2008 г., и антивирусные продукты компании ее детектировали, не рекомендуя сайт к посещению.

«Посетителям грозил сам факт посещения этого сайта: при установленных на компьютере устаревших версий Acrobat Reader (плагин которого редко обновляется пользователями) либо Microsoft Access автоматически запускались файлы browsser.exe и ntos.exe, которые воровали все пароли пользователя и делали его компьютер частью ботнета», - пояснил CNews ведущий эксперт «Лаборатории Касперского» Виталий Денисов: «Связка эксплоитов, подобная этой, показывает уровень заражений до 15%. Таким образом, число потенциально инфицированных пользователей исчисляется тысячами человек».

Кадр эротического ролика про «Альфастрахование»

Учитывая «аккуратность» расположения трояна в коде, в «Касперском» не исключают, что вредоносная программа была подсажена на сайт вручную. Источники CNews в «Лаборатории» предполагают, что в построенном на CMS «Битрикс» сайте «Альфастрахования» была отключена внутренняя защита по контрольной сумме, что позволило трояну остаться незамеченным.

В «Лаборатории Касперского» не располагают детальной информацией о функциональности именно этого трояна, но семейству Zbot, к которому он относится, свойственно после инсталляции себя в систему, похищать пользовательские пароли, перехватывать данные, вводимые в формы браузеров и контролировать адреса банков и платежных систем - таким образом происходит кража аккаунтов. Трояны Zbot способны перехватывать нажатие кнопки мыши и делать в этот момент скриншоты.

CNews подготовил инфографику по одной из крупнейших информационных систем России
Цифровизация

Интересно, что, хотя проблема с главной страницей была заметна еще вчера, 25 ноября, днем 26-го flash-ролик еще запускался, и антивирусные программы детектировали в нем троян.

Начальник отдела информационной безопасности «Альфастрахования» Артем Кроликов согласен с выводами специалистов «Касперского». Он подтвердил CNews, что «локализация проблемы вызвала некоторые трудности», и поэтому троян был удален с главной страницы к вечеру 26 ноября. Вместе с ним был удален и эротическо-рекламный ролик.

По поводу появления вредоносной программы в «Альфастраховании» проводится служебное расследование. До его окончания Артем Кроликов отказался делать выводы в отношении виновных в инциденте, но не исключил, что к нему могут быть причастны сотрудники разработчика сайта.

При этом PR-менеджер «Альфастрахования» Елена Бумагина заявила CNews, что ее компания сейчас не проводит никаких рекламных акций, а о ситуации с заражением главной страницы сайта ей ничего не известно.

Бесплатная российская замена Active Directory упрощает переход на отечественное ПО
Безопасность

По информации CNews, корпоративные правила «Альфастрахования» запрещают пользоваться на рабочем месте интернет-мессенджерами, поэтому сами сотрудники компании от риска заражения были избавлены.

По словам Виталия Денисова из «Лаборатории Касперского», сегодня большинство антивирусов успешно распознают троян на этапе загрузки (вчера его не блокировали Nod32 и Trend Micro). Кроме того, еще со вчерашнего вечера браузер Firefox, использующий базу вредоносных сайтов Google, блокирует вредоносный сервер google-analyze, с которого осуществлялась загрузка вируса.

Владислав Мещеряков