Вредоносная программа, крадущая информацию с зараженных компьютеров,
загружается с серверов неуловимого русского хостинга RBN, утверждают специалисты по безопасности. Зараженные PDF-файлы начали приходить на этой неделе как вложения в
спаммерской рассылке, с названиями типа YOUR_BILL.pdf, INVOICE.pdf или
STATEMENT.pdf. Согласно сообщению Symantec, вирус использует дыру в протоколе
"mailto:", которую более месяца назад обнаружил известный хакер Петко Петков (он
же недавно нашел дыры в почте Gmail). Если пользователь открывает зараженный файл, троян вырубает защитные системы
Windows и закачивает на зараженный компьютер пару скрытых приложений, которые
крадут финансовую и другую ценную информацию. Условия для успешной атаки -
браузер IE7 на Windows XP или Windows Server 2003, а также старые версии Adobe
Reader или Adobe Acrobat. При этом шпионские программы закачиваются с серверов российского хостинга
RBN, сообщил журналу PC World Кен Данхэм, специалист по безопасности из iSight
Partners. По его словам, и эти адреса, и сами шпионские файлы давно известны -
те же вредоносные коды использовались в сентябре 2006 года для атак через дыру в
VML. Более подробный разбор хакерского кода в PDF-файлах был сделан сегодня и российскими экспертами по безопасности. Они также отмечают,
что вредоносный загрузчик хостится в сети Russian Business Network. Как уже рассказывала "Вебпланета", ситуация с этим хостингом довольно
странная. Многие специалисты утверждают, что RBN находится в Петербурге, но
представители питерских интернет-компаний отрицают это.
|