Final Fantasy – это легенда игровой индустрии, история, ставшая культовой не для одного поколения геймеров. И всё бы хорошо, если бы один из самых больших и старых порталов, посвященный данной игровой вселенной, не попала в поле зрения вирусных аналитиков:

Так, вредоносный скрипт вызывается с заглавной страницы с помощью стандартного кода авторизации:

В файле vbulletin_md5.js после расшифровки происходит вызов функции «document.write("<ifram"+"e src=…» с последующим редиректом на другой зараженный сайт, и уже от туда на сайт с эксплойтами, входящими в набор эксплойтов Justexploit:

• CVE-2008-2992
• CVE-2008-5353
• CVE-2009-0927
• и т.д.

После удачной эксплуатации уязвимости на компьютер жертвы загружается вредоносная программа из семейства Trojan-PSW.Win32.Papras, осуществляющая кражу паролей пользователя от веб-ресурсов, электронной почты, icq и ftp путём прослушивания сетевого трафика. Также данная вредоносная программа регулярно обращается к командному центру для получения обновлений и команд от злоумышленника.

Итого

Зацикленная схема работы злоумышленников, связанная с кражей паролей от ftp с последующим заражением веб-ресурсов для дальнейшего распространения вредоносных программ, стала уже классической, способной работать в автоматическом режиме без участия злоумышленника. Примеры этому можно найти в работе bredolab, gumblar и т.д. Применительно к этому случаю заражения, перенаправление на эксплойты осуществляется с ~500 зараженных сайтов, и число их постоянно растёт. При этом хочется обратиться к администраторам сайтов и посоветовать им:

• Не хранить пароли в ftp клиентах
• Использовать sftp при работе с сайтами

PS.
IP-адрес контрольной панели, раздающей эксплойты, - 91.213.94.10.
IP-адрес, куда отправляются украденные пароли, - 91.213.94.131.