Лаборатория Касперского” сообщила о регистрации в Рунете массовой рассылки электронных писем, содержащих троянскую программу StartPage. На данный момент в службу технической поддержки компании уже поступило множество обращений пользователей о случаях заражения данным вредоносным кодом.

Рассылаемые письма выглядят следующим образом:

Тема: Видеоновинки для .

Текст:

Все видеоновинки по 120 рублей!

DVD и VHS.

Матрица 2, Терминатор 3, Блондинка в законе 2 и т.д.

Доставка бесплатно!

Кол-во ограничено!

Весь прайс-лист во вложении ZIP (внутри архива HTML-файл).

Вложение: Reg.zip

По мнению “Лаборатории Касперского”, использование русского языка однозначно указывает на страны бывшего СССР как на место происхождения StartPage.

Внутри вложения Reg.zip содержится файл REG.HTML, при открытии которого запускается носитель троянца — программа REG.EXE. Ее интересная особенность состоит в том, что запуск осуществляется абсолютно незаметно: для этого StartPage использует брешь Exploit.SelfExecHtml в системе безопасности Internet Explorer. Данная брешь была обнаружена более двух месяцев назад, однако “заплатка” для нее до сих пор, увы, отсутствует.

Этой уязвимости подвержены следующие продукты:

  • Microsoft Internet Explorer 5.0 for Windows 2000;

  • Microsoft Internet Explorer 5.0 for Windows 95;

  • Microsoft Internet Explorer 5.0 for Windows 98;

  • Microsoft Internet Explorer 5.0 for Windows NT 4.0.

Руководитель антивирусных исследований “Лаборатории” Евгений Касперский утверждает: “Инцидент может иметь далеко идущие последствия. Как известно, использование брешей для проникновения на компьютеры — любимое занятие вирусописателей. Именно этому методу обязано около 80% случаев всех вирусных инцидентов. Однако до сих пор практически все они были вызваны брешью IFRAME.

Сейчас мы наблюдаем, как на арену выходит новая брешь, которая может дать толчок к созданию множества новых вредоносных программ и возникновению глобальных эпидемий. К счастью, StartPage является довольно безобидной программой. Но не факт, что построенные по ее подобию коды будут вести себя по отношению к пользователю столь же мягко”.

В. М.

Версия для печати