Официальный сайт Национальной интернет-премии AWARD.kz 2008 взломан!

16 Июля 2008 года, в 13.40 был обнаружен взлом официального форума Национальной интернет-премии AWARD.kz 2008. Результатом взлома явился вирус-троян Trojan-Clicker.HTML.IFrame.gt, который предлагался к загрузке для каждого пользователя форума, желающего воспользоваться формой авторизации. Небольшое описание действий вируса (его модификации) взято с ресурса Лаборатории Касперского. Дата взлома неизвестна, Оргкомитет AWARD.kz комментариев не дал.

На данный момент форум функционирует нормально. Но в связи с предпринятыми обновлениями пользователи веб-сайта AWARD.kz лишились закрытой части сайта - всех функций, доступных зарегистрированным пользователям. При входе под логином открывается следующая страница. Также по этой ссылке размещен видеоролик демонстрирующий появление ошибки.

Один из экспертов форума COMPORT опубликовал следующий комментарий, который должен быть замечен Оргкомитетом AWARD.kz для решения данной проблемы и избежания неприятных последствий. Конечно, необходимо поиск и закрытие "дыры" в скриптах форума или веб-сайта и обновление текущего скрипта форума до актуальной версии.

Комментарий пользователя Prometheus:

"Случай исключительный! Взлом сайта Национальной интернет-премии AWARD.kz 2008 - это громкое событие в КазНете Smile Хотя и объяснимый - используется устаревшая CMS, старый движок форума. Но это не главное, т.к. если задуматься над последствиями возникает неприятная ситуация - во-первых, кто-то получил доступ к исходникам официального ресурса AWARD.kz, во-вторых, злоумышленник получил доступ к полной базе данных сайта. Отсюда следствием может быть очень многое - раскрытие конфиденциальности и всех личных данных пользователей Премии, возможность прямой накрутки голосов, слежение за действиями ОК, Жюри и т.д.

Это все возможно благодаря тому, что Глатис не решил проблему и вряд ли разберется, где "дыра" на сайте. Следовательно следующий взлом может быть "тихим". Взломщику не обязательно афишировать себя."
Вот что пишет Касперский по одной из модификаций данного трояна
После открытия зараженной страницы троянец расшифровывает и запускает на выполнение вредоносные JS скрипты. В результате троянец производит внедрение в текущую HTML страницу два скрытых фрейма, при загрузке которых происходит обращение к интернет ресурсам расположенным по следующим ссылкам:
http://ru***.info/forum/index.php
http://***termediagroup.com/ts/in.cgi?reyden

При открытии первого URL, осуществляется перенаправление на ресурс:
http://ru***.info/forum/load.php?spl=mdac

с которого, во временный каталог текущего пользователя Windows загружается файл с именем:
%Temp%\winZSRyU7CpTw6D.exe

Данный файл имеет размер 20128 байт и детектируется Антивирусом Касперского как Trojan.Win32.SubSys.dr.

После выполнения скрытого обращения к интернет ресурсу:
http://***termediagroup.com/ts/in.cgi?reyden

происходит перенаправление и открытие в браузере пользователя файла скрипта "robo.php", который находится по ссылке:
http://***sm-movies.info/robo.php

Данный файл скрипт имеет размер 3121 байт и детектируется Антивирусом Касперского как Trojan-Clicker.HTML.IFrame.ql.

http://www.viruslist.com/ru/viruses/encyclopedia?virusid=219433