Архив

Новое оружие «троянцев»

Троянский конь умудрился уместиться в HTML файле

«Лаборатория Касперского» сообщает об обнаружении вредоносной троянской
программы, получившей название «PswForm», содержащей принципиально
новую технику похищения конфиденциальной информации с зараженных компьютеров.
Для ее отсылки по электронной почте он использует команды языка HTML (HyperText
Markup Language) и внешний web сервер, поддерживающий переадресацию. Все это
делает «троянца» одинаково опасным для всех пользователей Интернет,
вне зависимости от используемой ими почтовой программы.

«Троянец» не имеет способности создавать свои копии или автоматически
рассылать себя по электронной почте. Вместо этого он посылается потенциальным
жертвам вручную непосредственно автором программы с адреса stack@aport.ru.

Зараженное сообщение содержит вложенный файл «быстрая статистика.html»
и следующий текст, якобы, от известной Интернет-компании «Стек», предлагающей
расширение спектра услуг по просмотру статистики о личном счете клиента по оплате
доступа в Интернет. (Напомним, что компания Стек являлась разработчиком информационно-поисковой
системы Rambler; в настоящее время — Интернет-холдинг Rambler).

Новость от компании «Стэк».

Наша компания заботится о своих клиентах и предлогает новую услугу
— Быстрая статистика. С ее помощью вы сможете быстро посмотреть свою статистику.
Вам нужно только ввести свой пароль и логин и вы видите свою статистику. Конечно,
вы это можете сделать, находясь в онлайне.

Попрубуйте прямо сейчас. Cмотрите вложеный файл быстрая статистика.htm

(оригинальная орфография сохранена)

«Факт, что вложенный файл является HTML страницей, серьезно дезориентирует
пользователей, привыкших, что самые опасные «аттачи» — это .EXE, .COM,
.BAT, .VBS. Теперь стоит опасаться и .HTML файлов», — сказал Евгений Касперский.

При запуске вложенного файла пользователю предлагается заполнить анкету, где
необходимо указать свое имя и пароль для входа в Интернет.

После этого «троянец» действительно переводит пользователя на страницу
статистики компании «Стек» (http://statserv.stack.net). Однако, одновременно
с этим введенная информация при помощи стандартных средств языка HTML передается
обработчику анкет на популярном ресурсе www.narod.ru.
Обработчик, в свою очередь, уже пересылает данные электронной почтой самому
автору «троянца». Таким образом, «PswForm» обошел отсутствие
средств пересылки электронной почты при помощи языка HTML, но, вместе с тем,
обеспечил возможность передачи данных.

К счастью, на данный момент не зарегистрировано случаев похищения «PswForm»
данных для доступа в Интернет. «Мы заботимся о безопасности наших пользователей
и регулярно предупреждаем об опасности, которая скрывается за вложенными файлами
даже посланными якобы от имени нашей компании», — сказал Михаил Ханов,
директор Управления маркетинга компании Rambler, — «До сих пор к нам не
поступило ни одной жалобы от наших пользователей в связи с появлением этой троянской
программы. Надеюсь, что благодаря слаженным и оперативным действиям «Rambler»,
«Яndex» и «Лаборатории Касперского» таких жалоб не будет
вообще».

Процедуры защиты от троянской программы «PswForm» уже добавлены в
очередное ежедневное обновление антивирусной базы «Антивируса Касперского».

Новое оружие «троянцев»

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике