Интернет поразила новая эпидемия: хакеры используют сразу две неизвестные бреши
25 июня 2004 года
Новая массовая эпидемия целой комбинации вредоносных программ в сочетании с несанкционированным проникновением в компьютерные системы поразила интернет. Эпидемия затрагивает веб-серверы под управлением операционной системы IIS5 (Microsoft Internet Information Server 5), а также пользовательские компьютеры, которые обращаются к пораженным веб-серверам при помощи браузера Internet Explorer. Об этом говорится в сообщении «Лаборатории Касперского», поступившем в редакцию NEWSru.com.
При этом злоумышленники применяют нестандартный механизм заражения пользовательских компьютеров. Во-первых, они взламывают веб-сервер, работающий под управлением IIS5, и заражают его написанной на JavaScript троянской программой Trojan.JS.Scob.a. На основании полученных данных аналитики предполагают, что проникновение на IIS5-сервер осуществляется через уже известную либо принципиально новую уязвимость.
Затем, при посещении какой-либо веб-страницы на зараженном веб-сервере с использованием браузера Microsoft Internet Explorer, установленная на веб-сервере троянская программа перехватывает управление и обращается к веб-сайту, на котором находится специальный PHP-скрипт, использующий еще одну, неизвестную до настоящего времени, уязвимость, но уже в браузере Internet Explorer.
И, наконец, за счет использования этой уязвимости, на пользовательский компьютер устанавливается одна из версий программы-шпиона Backdoor.Padodor (модификаций w, x, y, z), предоставляющей злоумышленникам возможность полного контроля над зараженной машиной.
Как сообщает «Интерфакс», специалисты в области компьютерных вирусов даже выступили с рекомендацией воздержаться от использования браузера Internet Explorer до тех пор, пока на компьютер не будет установлена специальная программа-заплатка.
«Пользователи должны знать, что любой сайт, даже тот, которому они доверяли, может быть заражен и содержать потенциально вредный код», - говорится в заявлении Американского центра чрезвычайного компьютерного реагирования (Cert).
Результаты анализа кода программы-шпиона Padodor не оставляют у российских аналитиков сомнений в определении авторов данной вредоносной акции. В тексте программы присутствует «авторская строка» со словами «Coded by HangUp Team». Это дает аналитикам основания предполагать, что автором и инициатором данной акции является международно известная команда вирусописателей и хакеров HangUp (веб-сайт rat.net.ru, сейчас защищен паролем), также подозреваемая в создании ряда других вредоносных программ. Например, обнаруженный недавно печально известный червь Padobot (также известный как Korgo), который атакует компьютеры через уязвимость LSASS, а для получения команд от злоумышленников использует каналы чата IRC.
Группа HangUp Team была создана тремя жителями Архангельска. В 2000 году они были арестованы и приговорены к условным срокам заключения по ст. УК РФ 273, за нарушение закона о создании и распространении вредоносных программ. Однако, по данным экспертов, в настоящее время команда HangUp вновь ведет активную деятельность и включает в себя представителей компьютерного андерграунда со всего постсоветского пространства, и, возможно, других стран мира. Группа также известна благодаря своим крепким связям со спам-индустрией, охотно приобретающей у нее сети из зараженных троянскими программами компьютеров, которые затем с помощью установки прокси-серверов используются для рассылки спама.
«Не исключено, что в данном случае имеет смысл вести речь о «Zero-day Exploit», т.е. о бреши, еще никому неизвестной, для которой еще не выпущен соответствующий патч. Иными словами, возможно, что хакеры, обнаружив или выкупив брешь у автора, незаметно заразили IIS-серверы по всему миру для распространения программы-шпиона. Мы говорили о возможности появления такого рода инцидентов еще несколько лет назад, и события этого дня подтверждают печальную тенденцию деструктивной направленности действий компьютерного андерграунда, который переходит к применению комбинированных атак, не допускающих применения сопоставимых средств защиты», - заявил руководитель антивирусных исследований Лаборатории Евгений Касперский.
Источники
правитьЛюбой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.