?

Log in

No account? Create an account
walther_v [userpic]

Новый вирус или в том же адрес поменяли?

Июнь, 4, 2008 (16:32)
working

тек. состояние: На работе
настроение: working

как продолжение темы http://walther-v.livejournal.com/232642.html


Касперский снова предупреждает

"Лаборатория Касперского", ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, сообщает о массовой рассылке писем, имитирующих сообщения сайта Одноклассники.ru. Письма содержат ссылку на подложный сайт www.odnoklassniks.info, с которого на компьютер пользователя может загрузиться троянская программа Trojan.Win32.Agent.qxk.

Письма, рассылаемые с помощью спам-ботнета, имитируют стандартное оповещение сайта Одноклассники.ru, уведомляющее пользователя о получении им нового сообщения от другого пользователя этой социальной сети. В качестве отправителей якобы пришедшего пользователю внутреннего сообщения фигурируют преимущественно женские имена.

Поддельное письмо содержит ссылку на сайт www.odnoklassniks.info, который зарегистрирован в Сингапуре. При переходе по данной ссылке запускается программный код на языке Java Script, использующий уязвимость в браузере Internet Explorer и загружающий на компьютер пользователя троянскую программу-загрузчик Trojan.Win32.Agent.qxk, после чего происходит автоматическое перенаправление пользователя на оригинальный сайт "Одноклассники.ru".

Данная рассылка производилась по широкому кругу адресов, содержащихся в базе данных спамеров, а не только по адресам пользователей сайта Одноклассники.ru. Однако основной целью ее, несомненно, были именно пользователи данной социальной сети, привыкшие получать письма о новых сообщениях и, не подозревая об опасности, автоматически переходить по указанной в письме ссылке.

Следует отметить, что, благодаря некомпетентности киберпреступников, эта атака имела лишь частичный успех: настройки сайта www.odnoklassniks.info позволяют одновременно подключаться к нему лишь очень ограниченному числу пользователей, поэтому троянская программа просто не загружается на большинство компьютеров.

"Сервер, с которого загружается троянская программа Trojan.Win32.Agent.qxk, уже неоднократно использовался злоумышленниками для распространения вредоносных программ. Первые случаи его использования были зафиксированы нами еще в феврале этого года. Кроме того, на этом же сервере расположен сайт одной из российских киберпреступных группировок, что дает все основания подозревать ее членов в осуществлении спам-рассылки от имени сайта Одноклассники.ru" - говорит Александр Гостев, ведущий вирусный аналитик "Лаборатории Касперского".

Сигнатура троянской программы Trojan.Win32.Agent.qxk была добавлена в антивирусные базы "Лаборатории Касперского" сразу после ее обнаружения вирусными аналитиками компании. Кроме того, сайт www.odnoklassniks.info был включен в "черный список" "Лаборатории Касперского", что позволяет блокировать к нему доступ тех пользователей, которые решили перейти по подложной ссылке, содержащейся в спамовом письме.

Данная атака является лишним примером растущей среди злоумышленников популярности социальных сетей, с помощью которых они пытаются спровоцировать пользователей на опасные действия.

"Лаборатория Касперского" напоминает, что киберпреступники часто пытаются обмануть доверчивых пользователей, маскируясь под известного жертве и пользующегося доверием отправителя. Гарантией надежной защиты в таких случаях может служить лишь осторожность пользователя и использование эффективных решений для защиты ПК от вредоносных программ и хакерских атак.

Информационная служба "Лаборатории Касперского"
123060, Москва, 1-й Волоколамский пр., д. 10, стр. 1
тел./факс: +7 (495) 797 87 00

http://cxell.livejournal.com/1078054.html


как Вы наверное заметили, адрес у этого экземпляра совсем другой...
так что...
.
Что бы посоветовал я?
Во всех почтовых клиентах можно письма сортировать. Скажем, помещать в одну папку письма от одного адресата.
Так Вы сразу увидите, если письмо НЕ оказалось в папке, скажем, "Однокласники" - значит к нему надо присмотреться.
Помогать будет до тех пор, пока вирусоделы не начнут подменять поле "from" :-))

Comments

Posted by: aamonster (aamonster)
Posted at: Июнь, 5, 2008 07:03 (UTC)

Меня на самом деле убивает ситуация с возможностью подделки поля "from". Ведь уйти от нее можно было легко и непринужденно - достаточно ввести в стандарт обязательность цифровой подписи (причем, как вариант, ее может ставить не клиент, а smtp-сервер провайдера почты) + возможность получения открытого ключа у сервера провайдера почты.

Т.е., к примеру, Вася Пупкин шлет письмо со своего адреса pupkin@mail.ru через сервак smtp.mail.ru. Сервак подписывает письмо. Оно приходит адресату (или на любой из промежуточных узлов). У адресата (или промежуточного узла) ключ для проверки либо уже есть, либо он напрямую коннектится на pop.mail.ru/smtp.mail.ru и спрашивает: "а какой открытый ключ для pupkin@mail.ru?". Ну и проверяет. Не сошлось - письмо можно сразу стирать, это фишинг.

1 Читать комментарии