Антивирусные эксперты компании Defiant предупредили, что в интернете распространяется новый троянец под названием BabaYaga. Он был бы малоинтересным вредителем, но эту программу создали так, чтобы она заботилась о зараженных веб-ресурсах. BabaYaga активно борется с другими вирусами на сайтах, устанавливает патчи и пытается вылечить их.
BabaYaga нацелена на веб-ресурсы под управлением системы WordPress. Последняя является самой популярной оболочкой для веб-сайтов в мире, и ее используют как небольшие блоги, так и многофункциональные интернет-порталы. Под управлением WordPress работает около 26% интернет-сайтов, включая sonymusic.com, nytco.com, group.renault.com, thewaltdisneycompany.com, toyota.com.br и официальный сайт Швеции sweden.se. При этом BabaYaga способен также заражать сайты на базе Joomla, Drupal и PHP.
Троянец состоит из двух частей: бэкдора и спам-кода. Бэкдор заражает и поддерживает работоспособность зараженного сайта. Спам-код оставляет спам-ссылки на страницах сайта, навигация по которым генерирует злоумышленникам прибыль.
Для максимальной прибыли нужно, чтобы захваченный BabaYaga сайт продолжал исправно работать. Сбои также привлекают внимание администраторов веб-сайта. Поэтому троян BabaYaga обновляет, исправляет и восстанавливает WordPress. Он автоматически устанавливает на захваченный сайт все новые обновления системы WordPress и даже создает резервные копии на случай неудачных обновлений. Когда потребность в таких файлах отпадает, он их удаляет для экономии дискового пространства. Если на зараженном сайте оказывается какое-то другое вредоносное программное обеспечение, BabaYaga его ликвидирует.
