В интернете была зафиксирована необычная эпидемия, затрагивающая веб-серверы под управлением MS IIS5 (Microsoft Internet Information Server 5) и, затем, пользовательские компьютеры, посетившие зараженные веб-серверы при помощи Internet Explorer.
Злоумышленники, предположительно, используют весьма нестандартный механизм заражения пользовательских компьютеров.
Во-первых, они взламывают веб-сервер, работающий под управлением IIS5, и заражают его написанной на JavaScript троянской программой Trojan.JS.Scob.a (процедуры ее обнаружения и удаления добавлены в базы данных Антивируса Касперского в ночь с 24 на 25 июня). Проникновение на IIS5-сервер, судя по всему, осуществляется через одну из старых или же неизвестную новую уязвимость.
Затем, при посещении какой-либо веб-страницы на зараженном веб-сервере посредством браузера MS Internet Explorer, установленный на веб-сервере "троянец" перехватывает управление и обращается к веб-сайту, на котором находится специальный PHP-скрипт, использующий еще одну до сегодняшнего дня неизвестную уязвимость, но уже в браузере Internet Explorer.
Наконец, за счет использования этой уязвимости, на пользовательский компьютер устанавливается одна из версий программы Backdoor.Padodor (модификаций w, x, y, z), предоставляющей злоумышленникам возможность полного контроля над зараженной машиной.
Эксперты по информационной безопасности предполагают, что за новой эпидемией стоят спамеры, пытающиеся таким образом установить программы для рассылки спама на как можно большее число пользовательских компьютеров.
"Лаборатория Касперского" рекомендует пользователям интернета временно воздержаться от просмотра веб-страниц при помощи браузера Internet Explorer. По имеющейся на данный момент информации, другие широко распространенные веб-браузеры (Mozilla и Opera) не подвержены этой уязвимости. Также, в целях профилактики, можно временно отключить исполнение JavaScript в настройках Internet Explorer.
"Лаборатория Касперского" обращает особое внимание пользователей на то, что потенциально опасным может оказаться любой, даже уважаемый или хорошо им знакомый веб-сайт, сообщает "Лаборатория Касперского".