“Лаборатория Касперского” зафиксировала нестандартный механизм заражения пользовательских компьютеров. Сначала злумышленники взламывают Web-сервер, работающий под управлением пакета Microsoft Internet Information Server 5 (IIS5), и заражают его троянской программой Trojan.JS.Scob.a, написанной на сценарном языке JavaScript (аналитики ЛК предполагают, что проникновение на IIS5-сервер осуществляется через уже известную либо принципиально новую уязвимость).
Затем если пользователь посещает с помощью браузера Microsoft Internet Explorer какую-либо Web-страницу на зараженном Web-сервере, то установленная на данном сервере троянская программа перехватывает управление и обращается к сайту, на котором находится специальный PHP-скрипт, использующий еще одну, неизвестную до сегодняшнего дня уязвимость, но уже в самом браузере.
В довершение ко всему за счет этой уязвимости на пользовательский компьютер устанавливается одна из версий программы-шпиона Backdoor.Padodor (модификаций w, x, y, z), предоставляющей злоумышленникам возможность полного контроля над зараженной машиной.
Результаты анализа кода этой программы-шпиона дают специалистам ЛК основания предполагать, что автором и инициатором данной акции является известная команда вирусописателей и хакеров HangUp, подозреваемая в создании ряда других вредоносных программ. Эта группа создана тремя жителями Архангельска, которые в 2000 г. были арестованы и приговорены к условным срокам заключения по ст. УК РФ 273 (за нарушение закона о создании и распространении вредоносных программ). Однако в настоящее время команда вновь ведет активную деятельность, и при этом в нее входят представители компьютерного андерграунда со всего постсоветского пространства, а возможно, и других стран мира.
В. М.