Хакер #305. Многошаговые SQL-инъекции
Антивирусные компании предупреждают об эпидемии нового червя Dorifel, который шифрует документы Word и Excel.
Вирус обнаружили сначала на территории Нидерландов, потом он появился и в Германии. Вполне возможно, что эпидемия охватит и другие страны. Dorifel распространяется различными путями, в том числе в приложениях по электронной почте. Говорят, что в Нидерландах он буквально «парализовал работу коммерческих компаний и государственных организаций».
Вредоносная программа занесена в сигнатурные базы как Trojan-Ransom.Win32.Dorifel (Emsisoft) или Worm.Win32.Dorifel (Kaspersky). «Лаборатория Касперского» предупредила об угрозе ещё 10 августа.
Исследователи «Лаборатории Касперского» внимательно изучили сервер, с которого Dorifel скачивает вредоносные модули — и обнаружили, что он неправильно сконфигурирован, так что есть возможность посмотреть файлы в некоторых разделах сервера. Они с удовольствием воспользовались этим шансом и обнаружили на сервере много интересного, в том числе новый тип Java-эксплойта (теперь он классифицирован как Exploit.Java.CVE-2012-0507.oq и Exploit.Java.Agent.hl), фальшивый антивирус (Trojan-FakeAV.Win32.SmartFortress2012.ctq), лог-файлы с финансовой информацией: номерами кредитных карт, CCV и именами, статистику заражений Dorifel, веб-инжекты для фишинговых сайтов, административные панели для наборов эксплойтов.
Антивирусные компании предупреждают, что червь Dorifel распространяется не в одиночку, а с целым набором других вредоносных программ. Признаком заражения является сетевой трафик на IP-адреса 184.82.162.163 и 184.22.103.202.