Впрочем, если у тебя установлены все необходимые патчи и самые свежие версии антивирусных баз, от перехода на этот сайт, ты, возможно, уже застрахован. Тем не менее пока непонятно, каким образом удалось взломать все эти сайты, и почему "Лаборатории Касперского" не удалось обнаружить эту проблему сразу же. Ранее в этом году подобная атака уже затронула около 1,5 миллионов серверов, так что последний случай выглядит достаточно скромно, однако в Kaspersky Labs предостерегают, что атака только началась.

При проведении атаки в html-код взломанного сервера добавляется ссылка, которая запускает Java Script, расположенный на одном из шести серверов. Эти серверы используются в качестве шлюзов для дальнейшего перенаправления запросов. Вот их адреса:

* armsart.com

* acglgoa.com

* idea21.org

* yrwap.cn

* s4d.in

* dbios.org

Далее запросы несанкционированно перенаправляются на сайт vvexe.com, расположенный в Китае и содержащий целый набор эксплоитов, которые атакуют компьютер. Если твоя машина окажется уязвимой хотя бы к одному из них, на нее установится Trojan-Downloader.Win32.Hah.a.

Этот троян загрузит другие программы, находящиеся на сайте. На данный момент таких программ обнаружено три:

* Trojan-GameThief.Win32.WOW.cer – троян, крадущий данные о лицевых счетах в игре World of Warcraft

* Trojan-Spy.Win32.Pophot.gen – еще один шпион, ворующий данные, и удаляющий все антивирусы

* Trojan.Win32.Agent.alzv – этот троян загружает еще три трояна: Trojan-PSW.Win32.Delf.ctw, Trojan-PSW.Win32.Delf.ctx и Trojan-PSW.Win32.Delf.cty.

Как уже сказано выше, способ заражения сайтов пока неизвестен, однако можно предположить, что это либо SQL-инъекция, либо использование ранее украденных лицевых счетов с этих сайтов. Также стоит отметить, что большинство зараженных ресурсов использовали похожие версии движков ASP.