Panda Software сообщает об одной из наиболее сложных организованных атак в истории [ Редагувати ]

Лаборатория PandaLabs сообщает об усложненной "цепной" атаке, выполняемой с помощью троянца SpamNet.A, обнаруженного на веб-странице, размещенной на сервере в США, с доменом, зарегистрированным на адрес в Москве. Атака отличается высокой сложностью, использующей структуру "дерева" для внедрения на компьютеры до 19-ти видов вредоносного ПО. Ее основной целью является рассылка спама, и, используя данную структуру, на настоящий момент троянцем собрано более 3 миллионов электронных адресов по всему миру.

Цепочка заражения начинается, когда пользователь посещает веб-страницу, упомянутую выше. Эта веб-страница использует тэг Iframe для попытки открытия двух новых страниц, что запускает два параллельных процесса, каждый ассоциированный с одной из двух страниц.

Когда открывается первая из двух страниц, она в свою очередь открывает шесть других, которые перенаправляют пользователя на несколько страниц с порнографическим содержимым. Они также открывают седьмую страницу, которая начинает основной процесс атаки. Эта страница пытается эксплуатировать две уязвимости для выполнения своих действий: Ani, anr и Htmredir. При успешной эксплуатации любой из них, страница устанавливает и запускает один из двух идентичных файлов (Web.exe или Win32.exe) на компьютере.

При запуске эти файлы создают семь файлов на компьютере, один из которых является собственной копией.