Вирус, использующий недавно найденную в
программных продуктах Microsoft уязвимость при
обработке графических файлов формата JPEG,
распространяется через службу обмена
мгновенными сообщениями AOL. По словам
экспертов института SANS (SysAdmin Audit Network Security),
вирус еще не успел широко распространиться
- институт располагает пока лишь двумя
сообщениями о заражении. "Такое уже
делали в прошлом, только с использованием
HTML-кода, а не JPEG, - говорит Джоэнис Ульрих,
технический директор центра по
исследованию интернет-атак института SANS. –
Это вирус, но он еще не успел
распространиться". Вирус действует
следующим образом: жертва получает
сообщение через IM-службу AOL, которое
перенаправляет ее на веб-сайт с
инфицированными файлами изображений в
формате JPEG. Сообщение выглядит следующим
образом: "Check out my profile, click GET INFO!" («Проверь
мой профайл, нажми на ПОЛУЧИТЬ ИНФОРМАЦИЮ»).
Когда пользователь кликает на ссылку, на
его компьютере автоматически запускается
вредоносный код, содержащийся в
инфицированной картинке. Далее зараженный
компьютер автоматически рассылает то же
сообщение по всему контакт-листу IM-службы AOL.
Вредоносный код содержит также backdoor. Еще 29
сентября Микко Хиппонен из компании
F-Secure предупредил о том, что многим
современным средствам антивирусной защиты
будет сложно обнаружить зараженные файлы
JPEG. Во-первых, антивирус по умолчанию
проверяет лишь .exe-файлы. Пользователь может
изменить настройки для поиска файлов JPEG,
однако злоумышленники тоже могут изменить
это расширение на 11 других, включая JPEG2 и ICON.
Так что их поиск в корпоративной сети, по
словам эксперта, займет немало времени и
потребует значительных вычислительных
ресурсов. Проблема еще и в том, что Internet Explorer
сначала выполняет JPEG-файл, и лишь потом
записывает его в свой кэш, так что антивирус
не может обнаружить вредоносную картинку
до заражения. "Это означает, что
недостаточно проверять на вирус сам
компьютер, - говорит эксперт. – Нужно
сканировать на шлюзе, но это может
значительно отразиться на пропускной
способности сети".
Подписаться
авторизуйтесь
Пожалуйста, войдите, чтобы прокомментировать
0 комментариев