Вирус, распространяющийся в графических файлах
14 мая 2004 года, 10:12
; текст: Владимир Парамонов
"Лаборатория Касперского" предупреждает об обнаружении новой вредоносной программы Agent, распространяющейся внутри графических файлов формата ВМР. Троян Agent использует обнаруженную в феврале нынешнего года дыру в браузере Internet Explorer. Суть проблемы, напомним, сводится к тому, что с помощью специально измененного изображения в BMP-формате можно спровоцировать ошибку переполнения буфера и выполнить произвольный код на компьютере пользователя. Причем для проведения атаки достаточно, чтобы жертва просто просмотрела рисунок в браузере.
Как сообщает "Лаборатория Касперского", вирус Agent был разослан по электронной почте при помощи спам-технологий. Письма не содержат никаких отличительных признаков, кроме ВМР-файла. При просмотре изображения троян соединяется с удаленным сервером в доменной зоне Ливии и загружает оттуда программу-шпиона Throd. С помощью этого шпиона злоумышленники могут воровать персональную информацию с компьютера жертвы, например, адреса электронной почты, а также превращать машину в прокси-сервер. Таким образом, можно предположить, что троян Agent создавался спамерами с целью пополнения собственных баз данных адресов и осуществления массовых рассылок.
Важно заметить, что вредоносная программа способна заражать только компьютеры с русской версией операционной системы Windows 2000 и браузерами Internet Explorer 5.0 и 5.5. Этот факт косвенно указывает на Россию и страны СНГ, как наиболее вероятные места создания Agent. Кстати, заплатки для дыры в браузерах Microsoft, обеспечивающей возможность проведения атак с помощью ВМР-файлов, не существует, поэтому защититься от трояна можно лишь при помощи антивирусных программ или путем перехода на более новую версию Internet Explorer.
