"Масштабы распространения этой угрозы в начале 2013 года приняли почти эпидемический характер, – отмечают специалисты. – Пик распространения троянцев Trojan.Hosts пришелся на январь и середину февраля, когда ежесуточно на компьютерах пользователей фиксировалось порядка 9 500 случаев заражения. В марте Trojan.Hosts заражают около 8 000 компьютеров в сутки".

Для взлома сайтов используется протокол FTP. Злоумышленники подключаются к ресурсам с использованием похищенных ранее логинов и паролей. После этого на взломанный сайт загружается специальный командный интерпретатор (шелл), с использованием которого изменяется файл .htacess, а на сайте размещается вредоносный скрипт.

При посещении пользователем  зараженного сайта скрипт выдает страницу, содержащую ссылки на различные вредоносные приложения. В частности, таким способом в последнее время начали широко распространяться троянцы семейства Trojan.Hosts, сообщили в компании "Доктор Веб".

"Следует отметить, что троянцы этого семейства распространяются злоумышленниками отнюдь не только с помощью взломанных сайтов, – предупреждают эксперты. – Была организована работа нескольких партнерских программ, через которые киберпреступникам выплачивается вознаграждение за получение прибыли с жертвы Trojan.Hosts. Таким образом, эти троянцы могут попадать на компьютеры потенциальных жертв и иными путями – например, с использованием бэкдоров и троянцев-загрузчиков".

Основное предназначение вредоносных программ семейства Trojan.Hosts — модификация файла hosts, расположенного в системной папке Windows и отвечающего за трансляцию сетевых адресов сайтов. При попытке перейти на один из популярных интернет-ресурсов пользователь зараженного компьютера перенаправляется на принадлежащую злоумышленникам страницу.

Если вы не используете постоянную антивирусную защиту и стали жертвой Trojan.Hosts, специалисты рекомендуют выполнить полную проверку компьютера с помощью бесплатной лечащей утилиты Dr.Web CureIt! и в случае необходимости отредактировать содержимое файла Windows\System32\Drivers\etc\hosts, удалив оттуда все лишние записи.

Юргис Думбляускас
Интерфакс-Запад, 13 марта 2013