Русский вирус атакует Internet Explorer

По Сети распространяется новый вирус, написанный специально под компьютеры россиян и жителей республик бывшего СССР. На этот раз вирусописатели использовали в своих целях привычный для многих интернетчиков спам – опасное письмо содержит сообщение на русском языке, предлагающее купить видеоновинки на DVD и кассетах. Приложенный к письму троянец использует «дыру» в Internet Explorer, «заплатки» к которой пока нет.

В службу технической поддержки «Лаборатории Касперского» уже поступило множество обращений пользователей о случаях заражения этой вредоносной программой, получившей название StartPage.

Зараженные письма выглядят следующим образом:

===
Тема:
Видеоновинки для 'aдрес получателя'

Текст:
Все видеоновинки по 120 рублей!
DVD и VHS.
Матрица 2, Терминатор 3, Блондинка в законе 2 и т.д.
Доставка бесплатно!
Кол-во ограничено!
Весь прайс лист во вложении ZIP (внутри архива HTML файл).

Вложение:
Reg.zip
===

Внутри вложенного файла REG.ZIP содержится файл REG.HTML, при открытии которого запускается носитель «троянца» - файл REG.EXE. Интересная особенность состоит в том, что запуск осуществляется абсолютно незаметно для пользователя - для этого StartPage использует брешь Exploit.SelfExecHtml в системе безопасности Internet Explorer. Данная «дыра» была обнаружена более двух месяцев назад, однако «заплатка» для нее до сих пор отсутствует. Этой уязвимости подвержен веб-браузер Microsoft Internet Explorer 5.0 для Windows 2000, Windows 95, Windows 98 и Windows NT 4.0.

«Инцидент может иметь далеко идущие последствия. Как известно, использование брешей для проникновения на компьютеры - любимое занятие вирусописателей. Именно этому методу обязано около 80% случаев всех вирусных инцидентов. Однако до сих пор практически все они были вызваны брешью IFRAME. Сейчас мы наблюдаем как на «арену» выходит новая брешь, которая может дать толчок к созданию множества новых вредоносных программ и возникновению новых глобальных эпидемий», - считает Евгений Касперский, руководитель антивирусных исследований «Лаборатории Касперского».

К счастью, StartPage является довольно безопасной программой. Среди ее побочных действий - модификация стартовой страницы Internet Explorer на сайт www.911club.ru.

Источник: по материалам «Лаборатории Касперского».

Курсы по теме: