Очередной троян для Outlook Express [ Редагувати ]

04 лютого 2003 13:17 за матеріалами: Подробиці

Очередной троян для Outlook Express

Компания MessageLabs сообщает о появлении новой троянской программы, использующей особенности почтового клиента Outlook Express.

В течение двух дней 25 и 26 января фильтры MessageLabs перехватили около 3000 зараженных сообщений. Новый троян был назван W32/Sadhound.

Для маскировки троян использует особенности механизма обработки заголовков электронных писем в Outlook Express. Определение типа вложенного файла происходит там вовсе не так прямолинейно, как должно было бы. Пока у файла только одно расширение, Outlook Express работает правильно. Но если файлу дать сразу три расширения, почтовая программа отреагирует весьма странным образом. Первое расширение она покажет пользователю, по третьему подберет иконку файла, а второе расширение использует, для того чтобы определить, какой программой открывать данный файл.

Если в качестве первого и третьего расширения указать .jpg, а в качестве второго - .exe, у пользователя не возникнет никаких сомнений в том, что перед ним картинка. Однако при попытке открыть вложение, Outlook Express запустит его, так как второе расширение, по мнению программы, свидетельствует, что это исполнимый файл. Если в письмо будет вложен код, запускающий троян при чтении письма, заразить систему становится совсем просто.

Таким способом иногда удается обмануть не только пользователей, но и многие программы, например, почтовые фильтры, сортирующие файлы по расширению. Как правило, антивирусные фильтры блокируют исполняемые файлы, но пропускают картинки или архивы. Большинство из них ничего не знают о замысловатом способе определения типа файла, которым пользуется Outlook Express, и обращают внимание только на последнее расширение.

Несмотря на все ошибки в Outlook Express, обнаружить подлог все-таки можно. Если щелкнуть на значке скрепки (для открытия вложения), то имя файла отобразится с первым расширением и многоточием после него. Внимательного пользователя это многоточие должно насторожить - оно свидетельствует о том, что файл может оказаться не тем, чем кажется.

по темі

Prev Next

11 травня 2025 18:51 Мир зірвано: чому Індія і Пакистан відкрили вогонь після угоди

Індія та Пакистан обмінялися звинуваченнями у порушенні режиму припинення вогню. Тиша тривала всього кілька годин. Вибухи пролунали у частині Кашміру, що під управлінням Індії. Хронологія подій у наступному сюжеті.

11 травня 2025 17:33 Зустріч "Коаліції охочих" у Києві: про що домовилися

"Коаліція охочих" підтримала безумовне й повне припинення вогню в Україні на 30 днів, що має розпочатися з 12 травня. Як минула зустріч лідерів країн напередодні в Києві? Знає Єлизавета Яковлева.

06 травня 2025 10:33 Трамп зупинив фінансування досліджень вірусів, подібних до COVID-19

Президент США Дональд Трамп доручив припинити фінансування за рахунок федерального бюджету досліджень потенційно небезпечних вірусів із набутими мутаціями. Відповідний указ опублікований на сайті Білого дому.

03 травня 2025 22:33 Зеленський дав чіткий сигнал рф щодо перемир'я на 9 травня

Президент України Володимир Зеленський заявив про готовність української сторони негайно перейти до припинення вогню за умови, що росія також готова на симетричні дії. Про це він сказав у своєму вечірньому зверненні.

01 травня 2025 21:36 Афера путіна: що насправді стоїть за "перемир'ям" на 9 травня

Ніна Коломієць проаналізувала пропозиції кремля і спіймала російського диктатора та його оточення на черговій брехні. Про маніпуляції на тиші - розкажемо далі.