Антивирусные компании предупреждают общественность об увеличении количества взломанных сайтов, которые злоумышленники используют для распространения троянских приложений семейства Trojan.Hosts.

В начале текущего года масштабы распространения данной угрозы приняли характер эпидемии.

Пик активности вируса был зафиксирован в январе и середине февраля – тогда ежесуточно фиксировалось порядка 9500 новых заражений. В марте троянская программа инфицирует порядка 8000 ПК в день.
Для взлома сайта используется протокол FTP, при помощи которого злоумышленники подключаются к интернет-ресурсу при помощи украденных ранее паролей и логинов.

Далее на взломанный ресурс загружается командный интерпретатор (шелл), который редактирует файл .htacess. На страницы сайта встраивается вредоносный скрипт.
При открытии зараженной страницы посетителю демонстрируются ссылки на различные вредоносные утилиты.
Стоит отметить, что Trojan.Hosts распространяется не только при помощи взломанных сайтов.

Злоумышленники даже организовали полноценную партнерскую программу, предлагая хакерам получить вознаграждение за распространение вируса. Таким образом, данный вид вредоносного приложения может попасть на компьютер различными путями – при помощи троянцев-загрузчиков и бэкдоров.

Основное назначение данного вируса – редактирование системного файла hosts, который отвечает за трансляцию интернет-адресов. После редактирования файла hosts, пользователь вместо популярных сайтов (социальные сети, поисковые системы и т.д.) перенаправляется на сайты злоумышленников.

Большая часть модификаций троянского приложения известна антивирусным программам. К тому же, большинство популярных антивирусов способны отслеживать изменения в файле hosts, выдавая соответствующее оповещение.

При необходимости можно вручную отредактировать данный файл, расположенный в каталоге Windows\System32\Drivers\etc\, удалив из него лишние строки.