Троянцы в pdf-формате

Эксперты по сетевой безопасности зафиксировали две массовые спам-рассылки с Gmail-аккаунтов, «заряженные» троянскими программами под видом pdf-вложений.

Во время первой рассылки специалисты iSight заблокировали более 75000 вредоносных писем, регистрируя новое письмо каждые 10 секунд. Спамовые сообщения с малограмотными англоязычными заголовками «INVOICE alacrity», «INVOICE depredate», «STATEMET indigene» были лишены текстового контента, но содержали вложенный pdf-файл под одним из следующих имен: «INVOICE.pdf», «YOUR_BILL.pdf», «BILL.pdf» или «STATEMET.pdf». При открытии последнего на компьютер жертвы загружалась троянская программа семейства Exploit.Win32.PDF-URI.

Согласно экспертным данным, злонамеренные послания эксплуатируют уязвимость в схеме реализации протокола «mailto:» (CVE-2007-5020) в браузере Internet Explorer 7 под управлением Windows XP и Windows Server 2003. Компания Adobe Systems уже выпустила патч для последних версий своих продуктов Adobe Reader и Adobe Acrobat, но далеко не все пользователи успели его установить, чем и воспользовались злоумышленники. Специалисты Microsoft обещают выпустить собственный патч в составе ноябрьского пакета обновлений для Windows.

Названный троянец отключает брандмауэр Windows на резидентном ПК и с находящегося в России (IP-адрес 81.95.146.130, зарегистрирован в сетях RBN) ftp-сервера загружает программу-downloader. Последняя, в свою очередь, устанавливает в директорию Windows итоговый компонент — новый вариант троянской программы Gozi — Gozi.f.

Троянец Gozi, в классификации «Лаборатории Касперского» носящий имя Small.bs, появился в Интернете в конце прошлого года и в экспертных кругах известен как программа, специализирующаяся на хищении банковских реквизитов, введенных в типовые веб-формы, даже если они защищены SSL-шифром. Хостинг Gozi также зарегистрирован в сетях RBN (IP-адрес 81.95.147.107).

Специалисты Secure Works предполагают, что инициатором второй атаки является другая группа злоумышленников, использующая для первоначального инфицирования машин жертв собственные эксплойты, в том числе вариант Zeus троянской программы PRG Trojan. Экперты F-Secure называют данный эксплойт Exploit:W32/AdobeReader.K. Для загрузки даунлоадера (названного в F-Secure Trojan-Downloader.Win32.Small.gkc) и итогового троянца он использует протокол BITS — облегченный вариант протокола на базе HTTP, применяемый Microsoft для рассылки своих обновлений в обход брандмауэра. В качестве вредоносного хостинга данная группа спамеров использует серверы в Малайзии и Швеции.

По данным F-Secure, заголовки и имена вредоносных вложений во второй спам-рассылке отличаются безупречностью с точки зрения правописания (например, «Your Credit File», «Personal Financial Statement», «Balance Report»; «report.pdf», «debt.2007.pdf», «overdraft.2007.10.26.pdf», «INVOICE2.pdf», «debt.2007.10.26.9790416.pdf»).

По оценке Marshal, рассылаемые второй группой спамеров вредоносные письма в настоящий момент составляют 1% от общего объема спама в Интернете. Исследователи Secure Works полагают, что их количество уже превысило объем первоначальной спам-рассылки с «троянскими» pdf-вложениями.

Исходя из специфики устанавливаемых на компьютер жертвы троянских программ, эксперты Symantec подчеркивают целевой характер описанных атак. Кроме того, pdf-формат широко используется в деловой переписке, и письма с pdf-вложениями обычно не блокируются спам-фильтрами, что повышает вероятность доставки спамовых писем пользователям.

В заключение стоит отметить, что процент инфицирования пользовательских ПК оказался столь высок, что частые обращения к веб-хостингам вредоносных программ перегрузили сетевой трафик злоумышленников. Владельцам вредоносных ресурсов пришлось закрыть их — надолго ли?..

источник: eWEEK

источник: F-SECURE