Вирус на уебсайт или етикет IFRAME
Това прави нов троянски кон, който краде пароли за достъп и често не се открива от антивирусни програми
Съответно, вълна от искове и обвинения срещу хостери обхвана поради "хакване" на потребителски хостове, които взеха такъв мащаб, че беше просто време да обвиним хостери, но те нямат нищо общо с това, се установи в почти 99% от анализа на системните дневници.
Същността на промените е, че следният код се появява на страницата index.html (или index.php и т.н.):
Маркерът iframe обикновено има стойността width = "0" и height = "0", което означава, че няма да видите началния прозорец на "левия" сайт, тъй като са зададени нулевите координати на този прозорец. В най-новите версии този маркер е маскиран по всякакъв възможен начин чрез кодиране BASE64, така че по време на бегъл преглед на кода да не бъде забелязан, а в някои случаи са известни инфекции чрез DIV тагове.
Анализът на механизма за заразяване на сайта показа следния резултат. Индексните страници бяха променени чрез FTP LEGAL връзка, тоест не беше извършено хакване на сайта, а беше извършено само влизане/парола и последващото модифициране на файловете на сайта. След по-подробно проучване се оказа, че това поведение е присъщо на троянската програма на семейството Pinch, която може да заобиколи защитни стени и антивирусни програми и да открадне всичко, до което може да достигне, включително пароли, запазени в IE, CuteFTP, Total Commander и дузина други програми.
Самата инфекция възниква, както следва:
- Trojan-Downloader.VBS се изтегля първо. Psyme.fc е програма за изтегляне на троянски програми за други троянски коне, името се променя няколко пъти наскоро.
- Тя е тази, която зарежда още два вируса - Trojan-PSW.Win32.LdPinch.bik (или модификация) и Trojan.Win32.Agent.oh (по избор).