Архив

Троянец «StartPage» атакует дыру в Internet Explorer

«Лаборатория Касперского», ведущий российский разработчик систем защиты от вирусов, хакеров и спама, сообщает о регистрации в рунете массовой рассылки электронных писем, содержащих троянскую программу «StartPage». На данный момент в службу технической поддержки компании уже поступило множество обращений пользователей о случаях заражения этой вредоносной программой.

Рассылаемые письма выглядят следующим образом:

Использование русского языка однозначно указывает на Россию или страны бывшего СССР как на место происхождения «StartPage».

Внутри вложенного файла REG.ZIP содержится файл REG.HTML, при открытии которого запускается носитель «троянца» — файл REG.EXE. Интересная особенность состоит в том, что запуск осуществляется абсолютно незаметно для пользователя — для этого «StartPage» использует брешь «Exploit.SelfExecHtml» в системе безопасности Internet Explorer. Данная брешь была обнаружена более двух месяцев назад, однако «заплатка» для нее до сих пор отсутствует.

Этой уязвимости подвержены следующие продукты:

Microsoft Internet Explorer 5.0 for Windows 2000
Microsoft Internet Explorer 5.0 for Windows 95
Microsoft Internet Explorer 5.0 for Windows 98
Microsoft Internet Explorer 5.0 for Windows NT 4.0

«Инцидент может иметь далеко идущие последствия. Как известно, использование брешей для проникновения на компьютеры — любимое занятие вирусописателей. Именно этому методу обязано около 80% случаев всех вирусных инцидентов. Однако до сих пор практически все они были вызваны брешью «IFRAME». Сейчас мы наблюдаем как на «арену» выходит новая брешь, которая может дать толчок к созданию множества новых вредоносных программ и возникновению новых глобальных эпидемий», — комментирует Евгений Касперский, руководитель антивирусных исследований «Лаборатории Касперского».

К счастью, «StartPage» является довольно безопасной программой. Среди ее побочных действий — модификация стартовой страницы Internet Explorer на сайт www.911club.ru.

Процедуры защиты от вредоносной программы уже добавлены в базу данных Антивируса Касперского. На данный момент использование антивирусной программы является единственным способом защититься от «StartPage»: компания Microsoft до сих пор не выпустила «заплатку» для Internet Explorer, которая закрывает указанную брешь.

Троянец «StartPage» атакует дыру в Internet Explorer

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике