Infectados los servidores de Valuehost

Ayer, uno de los usuarios de Kaspersky Antivirus nos envió una notificación sobre el extraño comportamiento de su navegador al visualizar el sitio www.5757.ru: se abría una segunda página y el antivirus para web mostraba una alerta sobre la descarga de un programa troyano. El usuario había entrado a este sitio después de ver un anuncio publicitario por televisión.

Durante el proceso de análisis de la página, descubrimos que el usuario casi cayó víctima de los delincuentes. En la página principal del sitio había un script de descarga de un programa troyano Trojan-Downloader.JS.Psyme.ct que a su vez trataba de descargar y ejecutar el programa Trojan-Downloader.Win32.Tiny.eo. En este momento, desde este sitio ya se está descargando otro programa troyano.

Hacemos notar, que el antivirus web (módulo de defensa constante de Kaspersky Anti-Virus 6.0, que protege los navegadores contra códigos maliciosos) rechazó el ataque de los programas troyanos indicados.
Las posteriores investigaciones mostraron que, además del sitio www.5757.ru, el ataque de los hackers afectó a por lo menos 470 servidores (según los resultados de Google al buscar un fragmento del script). Todos los servidores tenían algo en común: todos estaban hospedados en el territorio del proveedor Valuehost. La administración de Valuehost ha recibido una notificación sobre la presencia de la vulnerabilidad que permite que los servidores virtuales de sus clientes se contagien.
Valuehost es uno de los proveedores de hospedaje para sitios web más importantes de Rusia, que ofrece servicios desde el año 2000. En la red de Valuehost se hospedan más de sesenta mil sitios web rusos. La compañía tiene su propia red global de IP, construida con los ruteadores Juniper M7i y Cisco GSR 12016.