Вредоносная программа, крадущая информацию с зараженных компьютеров, загружается с серверов неуловимого русского хостинга RBN, утверждают специалисты по безопасности.
Зараженные PDF-файлы начали приходить на этой неделе как вложения в спаммерской рассылке, с названиями типа YOUR_BILL.pdf, INVOICE.pdf или STATEMENT.pdf. Согласно сообщению Symantec, вирус использует дыру в протоколе "mailto:", которую более месяца назад обнаружил известный хакер Петко Петков (он же недавно нашел дыры в почте Gmail).
Если пользователь открывает зараженный файл, троян вырубает защитные системы Windows и закачивает на зараженный компьютер пару скрытых приложений, которые крадут финансовую и другую ценную информацию. Условия для успешной атаки - браузер IE7 на Windows XP или Windows Server 2003, а также старые версии Adobe Reader или Adobe Acrobat.
При этом шпионские программы закачиваются с серверов российского хостинга RBN, сообщил журналу PC World Кен Данхэм, специалист по безопасности из iSight Partners. По его словам, и эти адреса, и сами шпионские файлы давно известны - те же вредоносные коды использовались в сентябре 2006 года для атак через дыру в VML.
Более подробный разбор хакерского кода в PDF-файлах был сделан сегодня и российскими экспертами по безопасности. Они также отмечают, что вредоносный загрузчик хостится в сети Russian Business Network.
Как уже рассказывала "Вебпланета", ситуация с этим хостингом довольно странная. Многие специалисты утверждают, что RBN находится в Петербурге, но представители питерских интернет-компаний отрицают это.