Троян «Баба-яга» чинит зараженные сайты и «убивает» все другие вирусы

Троян BabaYaga обновляет, исправляет и переустанавливает WordPress, устраняет любое «конкурирующее» вредоносное ПО, потому что для нормальной работы ему нужна исправно функционирующая CMS.

Спам и патчи

Эксперты по безопасности из компании Defiant описали вредоносную программу с характерным названием BabaYaga. «Баба-яга» используется для SEO-спама, однако, как выяснили исследователи, она способна удалять конкурирующий вредоносный софт и даже обновлять и переустанавливать CMS WordPress на заражённых ресурсах.

Основное назначение BabaYaga - это размещение на заражённых веб-сайтах «спамерских» ключевых слов и скрытых страниц, через которые пользователи перенаправляются на ресурсы, рекламируемые с помощью спама. Операторы BabaYaga получают комиссию от каждой продажи, сделанной на таких ресурсах. Вредонос состоит из двух модулей, один из которых отвечает как раз за инъекцию спам-контента в заражённые сайты, а другой представляет собой бэкдор, позволяющий злоумышленникам перехватывать контроль над сайтов в любое время.

Но самым интересным аспектом BabaYaga является его способность править, восстанавливать или переустанавливать систему управления контентом WordPress - автоматически.

Вредонос нуждается в том, чтобы сайт исправно работал, потому что в случае появления ошибок на нём, собственные скрипты BabaYaga также перестают исправно функционировать.

Поэтому BabaYaga автоматически устанавливает все новейшие обновления на сайт под управлением WordPress, а в случае надобности - полностью обновляет CMS и даже создаёт и резервные копии на случай неудавшихся обновлений и удаляет их, когда надобность в таких файлах отпадает.

Хороший паразит бережёт хозяина

Интересно и то, что BabaYaga способна выполнять роль локального антивируса: если на заражённом сайте обнаруживается какое-то другое вредоносное ПО, BabaYaga его ликвидирует.

Эксперты отметили, что «хороший паразит заинтересован в том, чтобы его носитель жил долго», и к тому же сбои в работе CMS привлекают внимание администраторов, что чреваато обнаружением BabaYaga. Поэтому вредонос делает всё, чтобы обеспечить исправное функционирование заражённого сайта.

«Вредоносные программы, устраняющие конкурентов, неоднократно встречались и в прошлом, но, кажется, впервые кто-то написал программу, которая ремонтирует и обновляет заражённую систему, - считает Олег Галушкин, эксперт по информационной безопасности компании SEC Consult Services. - Не исключено, что BabaYaga станет родоначальником новой разновидности вредоносного ПО, если используемая ею «модель» окажется в достаточной степени практичной».

Эксперты отмечают, что вредонос - судя по всему, созданный русскоязычными программистами, - очень неплохо написан, и что его авторы хорошо разбираются и в написании кода, и в функционировании современных CMS.

BabaYaga способна заражать также сайты на Drupal и Joomla, а также работать с ресурсами, написанными на PHP, но основной пункт её меню составляют сайты на WordPress.