В Интернете зафиксирована масштабная эпидемия

25 июня в Интернете была зафиксирована широкомасштабная нестандартная эпидемия. Эксперты по информационной безопасности предполагают, что возможной целью атаки был захват компьютеров пользователей с тем, чтобы в дальнейшем их использовать для рассылки спама.

Эпидемия затрагивала веб-серверы под управлением MS IIS5 (Microsoft Internet Information Server 5). Взломанные веб-серверы были заражены написанной на JavaScript троянской программой Trojan.JS.Scob.a. При посещении сайта на зараженном веб-сервере посредством браузера MS Internet Explorer «троянец» перехватывает управление и обращается к веб-сайту, на котором находится специальный PHP-скрипт, использующий неизвестную уязвимость в браузере Internet Explorer. В результате на пользовательский компьютер устанавливается одна из версий программы Backdoor.Padodor (модификаций w, x, y, z), предоставляющая злоумышленникам возможность полного контроля над зараженной машиной.

«Лаборатория Касперского» обращает особое внимание пользователей на то, что потенциально опасным может оказаться любой, даже уважаемый или хорошо им знакомый веб-сайт. Масштабы эпидемии столь значительны, что, по информации Associated Press, ее изучением занялось Министерство национальной безопасности США.

Результаты анализа кода «Padodor», проведенного «Лабораторией Касперского», дают основания предположить, что авторами вредоносной программы является команда вирусописателей и хакеров HangUp. В тексте программы специалисты «Лаборатории Касперского» обнаружили «авторскую строку» со словами «Coded by HangUp Team». Команда HangUp подозревается также в создании ряда других вредоносных программ. В частности, им приписывается авторство в создании червя «Padobot» («Korgo»), который атакует компьютеры через уязвимость LSASS, а для получения команд от злоумышленников использует каналы чата IRC.

По данным «Лаборатории Касперского», группа HangUp Team была создана тремя жителями Архангельска. В 2000 году они были арестованы и приговорены к условным срокам заключения по ст. УК РФ 273 за нарушение закона о создании и распространении вредоносных программ. В настоящее время команда HangUp вновь ведет активную деятельность и включает в себя представителей компьютерного андерграунда со всего постсоветского пространства, и, возможно, других стран мира. Группа также известна благодаря своим крепким связям со спам-индустрией, охотно приобретающей у HangUp Team сети из зараженных троянскими программами компьютеров, которые используются для рассылки спама.

Специалисты «Лаборатории Касперского» считают, что вирус использует так называемый «Zero-day Exploit» — никому не известную брешь. Хакеры, обнаружив или выкупив брешь у автора, незаметно заразили Интернет-серверы по всему миру для распространения программы-шпиона.

Источник: www.viruslist.com,
                 www.interfax.ru