Файл .htaccess містить конфігураційні дані веб-сервера, що використовуються веб-адміністратором для управління мережевим трафіком. Причому щоб особливо не привертати уваги мережевих адміністраторів, файл має більше 800 порожніх рядків як на початку, і в 800 порожніх рядків в кінці файлу.
Перенаправлення через .htaccess. відбувається наступним чином:
1. Коли користувач переходить за посиланням, браузер запитує доступ до скомпрометованому сайту. Причому запит відбувається тільки в тих випадках якщо це перші відвідини сайту, відвідування відбувається при переході по посиланню з пошукової системи, SNS або електронної пошти, користувач працює в середовищі Windows і використовується який-небудь популярний веб-браузер
2. Веб-сервер непомітно перенаправляє користувача на шкідливий сайт, використовуючи дані з файлу .htaccess.
3. На інфікованому сайті може бути безліч загроз, потенційно здатних використовувати певні уразливості ПК.
еречень деяких найбільш "свіжих" шкідливих сайтів:
[Spoiler] [ВИПАДКОВЕ ІМ'Я ДОМЕНУ] .tedzstonz.com;
[ВИПАДКОВЕ ІМ'Я ДОМЕНУ] .tgpottery.com;
[ВИПАДКОВЕ ІМ'Я ДОМЕНУ] .yourcollegebody.com;
[ВИПАДКОВЕ ІМ'Я ДОМЕНУ] .tgpottery.com;
[ВИПАДКОВЕ ІМ'Я ДОМЕНУ] .beeracratic.com;
[ВИПАДКОВЕ ІМ'Я ДОМЕНУ] .buymeaprostitute.com;
[ВИПАДКОВЕ ІМ'Я ДОМЕНУ] .zoologistes-sansfrontiere.com;
[ВИПАДКОВЕ ІМ'Я ДОМЕНУ] .zoologistes-sansfrontiere.com;
[ВИПАДКОВЕ ІМ'Я ДОМЕНУ] .buymeaprostitute.com;
[ВИПАДКОВЕ ІМ'Я ДОМЕНУ] .wheredoesshework.com;
[ВИПАДКОВЕ ІМ'Я ДОМЕНУ] .wheredidiwork.com;
[ВИПАДКОВЕ ІМ'Я ДОМЕНУ] .jordanmcbain.com;
[ВИПАДКОВЕ ІМ'Я ДОМЕНУ] .bankersbuyersguide.net;
[ВИПАДКОВЕ ІМ'Я ДОМЕНУ] .findmeaprostitute.com;
[ВИПАДКОВЕ ІМ'Я ДОМЕНУ] .watchmoviesnchat.com;
[ВИПАДКОВЕ ІМ'Я ДОМЕНУ] .joincts.info. [/ Spoiler]
За останні кілька днів фахівці Symantec виявили майже 4 000 унікальних зламаних веб-сайтів, які перенаправляють користувачів на шкідливі ресурси. Більшість з них є персональними сторінками або сайтами середніх і малих компаній, проте в переліку також присутні державні, телекомунікаційні та фінансові організації, сайти яких також були скомпрометовані.
Протидія загрозі полягає в наступному:
Для веб-адміністраторів
Антивірусні продукти Symantec визначають заражені файли .htaccess як Trojan.Malhtaccess. Видаліть їх, замініть останньої відомої безпечної резервної копією і встановіть оновлення безпеки для всіх використовуваних операційних систем і веб-додатків, включаючи CMS.
для користувачів
На додаток до антивірусним сигнатурам, фахівці Symantec створили спеціальну сигнатуру IPS 25799: Web Attack: Malicious Executable Download 6, яка автоматично захищає користувачів від перенаправлення на шкідливі ресурси.