Hosts. Согласно данным компании, масштабы распространения этой угрозы в начале 2013 г. приняли почти эпидемический характер.
Пик распространения троянов Trojan.Hosts пришелся на январь и середину февраля, когда ежесуточно на компьютерах пользователей фиксировалось порядка 9,5 тыс. случаев заражения. В марте Trojan.Hosts заражают около 8 тыс. компьютеров в сутки (количество подсчитывается по числу зафиксированных случаев изменения трояном содержимого файла hosts на инфицированных компьютерах), сообщили CNews в «Доктор Веб».
Для взлома веб-сайтов злоумышленники используют протокол FTP, подключаясь к ресурсам с использованием похищенных ранее логинов и паролей. Затем на взломанный сайт загружается специальный командный интерпретатор (шелл), с использованием которого изменяется файл .htacess, а на сайте размещается вредоносный скрипт, пояснили в компании. В результате, при заходе на зараженный сайт скрипт выдает посетителю веб-страницу, содержащую ссылки на различные вредоносные приложения.
Однако трояны семейства Trojan.Hosts распространяются злоумышленниками отнюдь не только с помощью взломанных сайтов. Как удалось выяснить специалистам «Доктор Веб», была организована и работа нескольких партнерских программ, через которые киберпреступникам выплачивается вознаграждение за получение прибыли с жертвы Trojan.Hosts. Таким образом, эти трояны могут попадать на компьютеры потенциальных жертв и иными путями — например, с использованием бэкдоров и троянов-загрузчиков.
Основное предназначение вредоносных программ семейства Trojan.Hosts — модификация файла hosts, расположенного в системной папке Windows и отвечающего за трансляцию сетевых адресов сайтов. В результате вредоносных действий при попытке перейти на один из популярных интернет-ресурсов пользователь зараженного компьютера перенаправляется на принадлежащую злоумышленникам веб-страницу.
Большинство известных модификаций Trojan.Hosts успешно удаляется из системы антивирусным ПО Dr.Web, более того, в антивирусных продуктах Dr.Web версии 8 предусмотрен специальный механизм защиты файла hosts от его модификации вредоносным ПО. Кроме того, IP-адреса взломанных сайтов оперативно добавляются в базы Dr.Web, поэтому подобные ресурсы блокируются при обращении к ним компонентом Dr.Web SpIDer Gate. В случае если антивирус заблокировал доступ к какому-либо популярному или известному ресурсу, специалисты «Доктор Веб» рекомендуют выполнить проверку жестких дисков компьютера на наличие угроз.
Пользователям, которые не используют постоянную антивирусную защиту Dr.Web и стали жертвой данной вредоносной программы, рекомендуется выполнить полную проверку компьютера с помощью бесплатной лечащей утилиты Dr.Web CureIt! и в случае необходимости отредактировать содержимое файла Windows\System32\Drivers\etc\hosts, удалив оттуда все лишние записи.