Троян «Баба-яга» чинит зараженные сайты и «убивает» все другие вирусы
Источник: CNews.
Спам и патчи
Эксперты по безопасности из компании Defiant описали вредоносную программу с характерным названием BabaYaga. «Баба-яга» используется для SEO-спама, однако, как выяснили исследователи, она способна удалять конкурирующий вредоносный софт и даже обновлять и переустанавливать CMS WordPress на заражённых ресурсах.
Основное назначение BabaYaga - это размещение на заражённых веб-сайтах «спамерских» ключевых слов и скрытых страниц, через которые пользователи перенаправляются на ресурсы, рекламируемые с помощью спама. Операторы BabaYaga получают комиссию от каждой продажи, сделанной на таких ресурсах. Вредонос состоит из двух модулей, один из которых отвечает как раз за инъекцию спам-контента в заражённые сайты, а другой представляет собой бэкдор, позволяющий злоумышленникам перехватывать контроль над сайтов в любое время.
Но самым интересным аспектом BabaYaga является его способность править, восстанавливать или переустанавливать систему управления контентом WordPress - автоматически.
Вредонос нуждается в том, чтобы сайт исправно работал, потому что в случае появления ошибок на нём, собственные скрипты BabaYaga также перестают исправно функционировать.
Поэтому BabaYaga автоматически устанавливает все новейшие обновления на сайт под управлением WordPress, а в случае надобности - полностью обновляет CMS и даже создаёт и резервные копии на случай неудавшихся обновлений и удаляет их, когда надобность в таких файлах отпадает.
Хороший паразит бережёт хозяина
Интересно и то, что BabaYaga способна выполнять роль локального антивируса: если на заражённом сайте обнаруживается какое-то другое вредоносное ПО, BabaYaga его ликвидирует.
Эксперты отметили, что «хороший паразит заинтересован в том, чтобы его носитель жил долго», и к тому же сбои в работе CMS привлекают внимание администраторов, что чреваато обнаружением BabaYaga. Поэтому вредонос делает всё, чтобы обеспечить исправное функционирование заражённого сайта.
«Вредоносные программы, устраняющие конкурентов, неоднократно встречались и в прошлом, но, кажется, впервые кто-то написал программу, которая ремонтирует и обновляет заражённую систему, - считает Олег Галушкин, эксперт по информационной безопасности компании SEC Consult Services. - Не исключено, что BabaYaga станет родоначальником новой разновидности вредоносного ПО, если используемая ею «модель» окажется в достаточной степени практичной».
Эксперты отмечают, что вредонос - судя по всему, созданный русскоязычными программистами, - очень неплохо написан, и что его авторы хорошо разбираются и в написании кода, и в функционировании современных CMS.
BabaYaga способна заражать также сайты на Drupal и Joomla, а также работать с ресурсами, написанными на PHP, но основной пункт её меню составляют сайты на WordPress.
