Вирус прыгает из bitmap-файлов

Вебпланета

≡ Архив | архивная статья | 14.05.2004 13:58

Обнаружена массовая рассылка троянской программы «Agent», заражающей компьютеры с помощью BMP-файлов, сообщает «Лаборатория Касперского».

В интернете обнаружена массовая рассылка троянской программы «Agent», которая заражает компьютеры при просмотре графических файлов формата BMP.

«Agent» использует брешь браузере Internet Explorer версий 5.0 и 5.5, которая позволяет запускать на компьютере вредоносный код при просмотре специально сконструированных BMP-файлов. Брешь была обнаружена 16 февраля 2004 года, что стало следствием утечки исходных кодов Windows.

«Agent» был разослан по электронной почте при помощи спам-технологий. Зараженное письмо не содержит никаких отличительных признаков, кроме вложенного BMP-файла со случайным именем. Важно отметить, что данный файл создан специально для атаки русской версии Windows 2000 — на других версиях операционной системы вредоносный код работать не будет. Этот факт косвенно указывает на Россию и страны СНГ как наиболее вероятные места создания «Agent».

Если пользователь имел неосторожность запустить вложенный BMP-файл, «троянец» связывается с удаленным сервером, расположенным в доменной зоне Ливии, загружает с него другую троянскую программу — «Throd», и устанавливает ее на компьютере-жертве.

«Throd» представляет собой классическую программу-шпиона. При установке «троянец» регистрируется в ключе автозапуска системного реестра Windows и переходит в режим ожидания команд. В частности, с его помощью злоумышленники могут выполнять удаленные инструкции (копирование данных, считывание адресов из адресной книги Outlook и их пересылка на удаленный адрес), а также использовать зараженный компьютер как прокси-сервер для проведения анонимных сетевых преступлений.

Серьезное беспокойство внушает факт, что на данный момент отсутствует специальное обновление Internet Explorer для защиты от атак через указанную брешь. Таким образом, сейчас единственным эффективным средством противодействия атаке является антивирусная программа. «Лаборатория Касперского» не исключает возможности появления вредоносных программ подобного рода и для других версий Windows.

комментарии(0)

разделы: Архив