Xakep #305. Многошаговые SQL-инъекции
Как сообщила в пятницу на своем сайте "Лаборатория
Касперского", в Рунете в диком виде
появился новый почтовый червь и троянский
конь в одном лице. Монстра зовут "Stator".
Вирус приходит в письме некой Светы
Ковалевой, с адреса "zgnubip@mail.ru". При этом
в поле "тема" значится: "привет". В
теле письма содержится пространное
послание, рассчитанное на пользователя, не
отягощенного опытом пользования
Интернетом вообще и почтовыми программами
в частности. Социальный инжиниринг в
послании сведен к минимуму, следующим шагом
в этом направлении может быть только что-нибудь
типа: "Я тут шлю вам всем "трояна" -
посмотрите, не пожалеете".
К письму приложен обещанный аттачмент,
который, по сведениям "Лаборатории
Касперского", действительно, помимо
вируса содержит также и фотографию некой
девушки. Имя вложенного файла обладает
обычным для подобных "фотографий"
двойным расширением: "photo1.jpg.pif".
Напомним, что .pif - расширение исполняемых
файлов DOS, а присланные от неизвестного
исполняемые файлы, как известно, открывать
не надо.
Как пишет
"Лаборатория Касперского", вирус
рассчитан на владельцев почтовой
программы "The Bat", которая приобрела в
последнее время большую популярность среди
опытных пользователей Интернета, прежде
всего, в Центральной и Восточной Европе. По
сведениям "Лаборатории" - это первая
вредоносная программа, использующая
возможности "The Bat" во вредительских
целях.
Червь рассылает себя, используя базу
данных "TheBat". При рассылке червь
использует протокол SMTP (прямой доступ) и
отсылает свои письма через почтовый сервер
smtp.mail.ru.
Чтобы замаскировать свое присутствие
после активизации, червь создает на диске
jpeg-файл с фотографией девушки и открывает
его. После активации червь внедряется в
файлы Windows mplayer.exe, WINHLP.exe, notpad.exe, control.exe,
scanregw.exe, после заражения расширение файлов
заменяется на .vxd, а сами файлы заменяются на
копии червя.
Червь также копирует себя в системный
каталог Windows в качестве scanregw.exe и loadpe.com, а в
главный каталог Windows - под именем ifnhlp.sys. Файл
loadpe.com затем регистрируется в системном
реестре, в секции автозапуска, в результате
чего при запуске любого .exe файла происходит
активизация червя, после чего и этот файл
превращается в одну из копий червя с
расширением .vxd.
Характерной чертой всех вредоносных
файлов, создаваемых на зараженной машине,
является их размер - 61 Кб.
Вирус ворует и отсылает хозяину логины и
пароли подключения к локальной сети,
Интернету и многое другое.