Внимание! Заражены 83 веб-сайта в домене .UZ
 

Внимание! Сегодня было обнаружено 83 заражения вредоносными ссылками веб-сайтов в домене .UZ

Все веб-сайты находятся на сервере в США:

OrgName: ThePlanet.com Internet Services, Inc.
OrgID: TPCM
Address: 315 Capitol
Address: Suite 205
City: Houston
StateProv: TX
PostalCode: 77002
Country: US

Вредоносная ссылка выглядит следующим образом:

http://www.duhhed.com/images/photos/y/?page=37

Далее идет перенаправление на троянскую программу:

http://coripastares.com/adw_files/774/af5b99ab/install.exe

Список сайтов прилагается:

hттp://www.100.uz
hттp://www.absolution.uz
hттp://www.ai.uz
hттp://www.alizee.uz
hттp://www.alj-samarqand.uz
hттp://www.asg.uz
hттp://www.asr.uz
hттp://www.atlasmedia.uz
hттp://www.aviakassa.uz
hттp://www.azizovpartners.uz
hттp://www.beauty.uz
hттp://www.bbd.uz
hттp://www.bektour.uz
hттp://www.beldersay.uz
hттp://www.benetek.uz
hттp://www.billur.uz
hттp://www.business.uz
hттp://www.chachmobile.uz
hттp://www.chtz.uz
hттp://www.deco.uz
hттp://www.doctorshahnoza.uz
hттp://www.elegantourism.uz
hттp://www.elektro.uz
hттp://www.ellikqala.uz
hттp://www.emex.uz
hттp://www.enzazaden.uz
hттp://www.esan.uz
hттp://www.eyeclinic.uz
hттp://www.filigran.uz
hттp://www.fineartmuzeum.uz
hттp://www.finex.uz
hттp://www.gabus.uz
hттp://www.gamma-elektro.uz
hттp://www.genesis.uz
hттp://www.gosts.uz
hттp://www.heka-dental.uz
hттp://www.icm.uz
hттp://www.icps.uz
hттp://www.ilsar.uz
hттp://www.interfitness.uz
hттp://www.intermicro.uz
hттp://www.itma.uz
hттp://www.jannatoromi.uz
hттp://www.kelinchak.uz
hттp://www.khiva.uz
hттp://www.khorezmpalace.uz
hттp://www.kristina-k.uz
hттp://www.kvd9.uz
hттp://www.malikova.uz
hттp://www.merida.uz
hттp://www.mirmaxtrade.uz
hттp://www.mumnet.uz
hттp://www.namuna.uz
hттp://www.nbt.uz
hттp://www.nlp.uz
hттp://www.oqituvchi.uz
hттp://www.prm.uz
hттp://www.promo.uz
hттp://www.relmon.uz
hттp://www.serj.uz
hттp://www.setanho.uz
hттp://www.sharqona.uz
hттp://www.show.uz
hттp://www.silver-silk.uz
hттp://www.sms-sender.uz
hттp://www.sp-express.uz
hттp://www.sts.uz
hттp://www.study.uz
hттp://www.sv.uz
hттp://www.tosh-sanam.uz
hттp://www.tour.uz
hттp://www.tourism.uz
hттp://www.tustore.uz
hттp://www.umi.uz
hттp://www.uzttm.uz
hттp://www.valeria.uz
hттp://www.vid.uz
hттp://www.vista.uz
hттp://www.vostok.uz
hттp://www.xado.uz
hттp://www.zlatoust.uz
hттp://www.zulayho.uz
hттp://www.zz.uz

Просим владельцев вышеуказанных веб-сайтов убрать вредоносный код со своих ресурсов и в срочном порядке связаться со своим хостинг провайдером для решения возникших проблем.

Будьте любезны, вместе с опубликованием всяких троянов и остальной живности, которые портят нам настроение, пожалуйста, опубликовывайте результаты их выявления популярными антивирусами. Что-бы, если что-то, кем-то, не будет отлавливаться, мы об этом узнали от Вас...

А можно провести анализ платформ хостов\узлов? Хотелось бы знать сколько сайтов зараженых на GNU *nix, сколько на коммерческих продуктах (HPUX\AIX\Windows) и в разрезе на Apache\Netscape\IIS\ и еще чего нибудь?

Для этого Службой UZ-CERT была разработана программа SecureSurf, которая мониторит и блокирует веб-сайты в домене .UZ с вредоносными ссылками. Можете установить и протестировать :187:

Что касается антивирусов, то лицензионный ESET NOD32 Business Edition при заходе на вышеуказанные веб-сайты выдает следующую информацию:

hттp://coripastares.com/ms03011.jar multiple threats
hттp://coripastares.com/OP.jar Java/TrojanDownloader.OpenStream.NAB trojan
hттp://coripastares.com/adw_files/774/af5b99ab/install.exe?id=1 probably a variant of Win32/Statik application

Такой анализ (статистика) будет доступен в ближайшее время на веб-сайте Службы UZ-CERT.

Хотя, я не думаю что в данном случае это имеет большое значение. В основном заражение происходит по вине администраторов веб-сайтов, нежели по вине софта, установленного на сервере.

Для маркетинга имеет, почему нет? Приобретение хорошего коммерческого продукта и наличие кваллифицированного персонала способного грамотно развернуть инфраструктуру, является гарантией что хост не появится в Вашем "черном" списке

А на Касперского стоит полагаться?

Можно, но рекомендуем NOD32. :) А также рекомендуем использовать лицензионный продукт, что Kaspersky Antivirus, что ESET NOD32 Antivirus. Из бесплатного - можно попробовать Avira.

Linux 71
Windows 7
*BSD 4
Solaris 0
HP-UX 0
Конечно, это не полная статистика, но пока то, что можем показать.

Не блокирует, а предупреждает о возможном заражении

На выше названные сайты не заходил, своё время жалко, но троян по ссылке скачал.
KIS7- возмущался.
обнаружено: вирус 'Heur.Trojan.Generic' (модификация).

И сайт моей конторы попал в черный список, хостимся у Биллюра(( будем разбираться.