Остерегайтесь BMP-файлов!

Обнаружена массовая рассылка троянской

программы "Agent", заражающей компьютеры с помощью BMP-файлов.

"Лаборатория Касперского" сообщает об обнаружении массовой

рассылки троянской программы "Agent", заражающей компьютеры при
просмотре графических файлов формата BMP.

"Agent" использует брешь браузере Internet Explorer версий 5.0 и 5.5,

которая позволяет запускать на компьютере вредоносный код при просмотре
специально сконструированных BMP-файлов. Брешь была обнаружена 16
февраля 2004 г. (http://www.kaspersky.ru/news.html?id=145752935), что стало
следствием утечки исходных кодов Windows
(http://www.kaspersky.ru/news.html?id=145667021).

"Agent" был разослан по электронной почте при помощи спам-

технологий. Зараженное письмо не содержит никаких отличительных
признаков, кроме вложенного BMP-файла со случайным именем. Важно
отметить, что данный файл создан специально для атаки русской версии
Windows 2000 - на других версиях операционной системы вредоносный код
работать не будет. Этот факт косвенно указывает на Россию и страны СНГ как
наиболее вероятные места создания "Agent".

Если пользователь имел неосторожность запустить вложенный BMP-

файл, "троянец" связывается с удаленным сервером, расположенным в доменной
зоне Ливии, загружает с него другую троянскую программу - "Throd", и
устанавливает ее на компьютере-жертве.

"Throd" представляет собой классическую программу-шпиона. При

установке "троянец" регистрируется в ключе автозапуска системного реестра
Windows и переходит в режим ожидания команд. В частности, с его помощью
злоумышленники могут выполнять удаленные инструкции (копирование
данных, считывание адресов из адресной книги Outlook и их пересылка на
удаленный адрес), а также использовать зараженный компьютер как прокси-
сервер для проведения анонимных сетевых преступлений.

"Несомненно, что "Throd" сделан специально для нужд спаммеров -

пополнения базы данных адресов рассылки. Это еще раз подтверждает
тенденцию сращивания вирусных и спам отраслей компьютерного
андерграунда", - сказал Евгений Касперский, руководитель антивирусных
исследований "Лаборатории Касперского".

Серьезное беспокойство внушает факт, что на данный момент

отсутствует специальное обновление Internet Explorer для защиты от атак через
указанную брешь. Таким образом, сейчас единственным эффективным
средством противодействия атаке является антивирусная программа. "Кроме
того, не исключено появление вредоносных программ и для других версий
Windows. По этой причине мы рекомендуем всем пользователям, независимо от
установленной версии операционной системы предпринять соответствующие
меры", - добавил Евгений Касперский.
 Антивирус Касперского анализирует содержимое BMP-файлов и
автоматически выявляет опасные объекты при попытке их проникновения через
интернет или электронную почту. Таким образом, программа нейтрализует
"Agent" без дополнительных обновлений базы данных. Защита от "Throd" уже
добавлена в очередное обновление Антивируса Касперского.

Мы рекомендуем использовать для работы в интеренете безопасный

браузер Mozilla, который вы можете скачать с нашего фтп сервера:
ftp://ftp.kaspersky.ee/mozilla/mozilla-win32-1.6-installer.exe
 Olge ettevaatlikud BMP-faile sisaldavate mailidega!

On avastatud BMP-failide abil arvutit kahjustava troojaprogrammi “Agent”

masspostitus.

Kasperski Lab teatab troojaprogrammi “Agent” masspostituse avastatamisest.

Programm nakatab arvuti maili teel saabunud viirusekoodi sisaldavate BMP-failide
avamisel.

“Agent” kasutab turvaauku Internet Exploreri versioonides 5.0 ja 5.5, mis

lubab käivitada BMP failidesse peidetud skripte nende vaatamise ajal.Turvaauk
avastati 16.02.2004 (http://www.kaspersky.ru/news.html?id=145752935), Windowsi
lähtekoodi internetti lekkimise tagajärjena
(http://www.kaspersky.ru/news.html?id=145667021).

“Agent” saadeti võrku laiali rämpspostituse kanaleid kasutades. Nakatunud

kiri ei sisalda mingeid erilisi tundemärke peale manusena kaasapandud juhusliku
nimega BMP.faili. Eriliseks teeb viiruse see, et ta on loodud spetsiaalselt venekeelse
Windows2000 ründamiseks – muukeelseid Windows2000 süsteeme see viirus ei
ohusta. Seega võib oletada, et viirus on loodud kas venemaal või mõnes SRÜ riigis.

Kui kasutaja on manusena kaasapandud nakatunud BMP-faili siiski avanud,

võtab troojaprogramm ühenduse liibüa alamdomeenis asuva serveriga ja laeb sealt
arvutisse “Throd”-nimelise troojaprogrammi.

“Throd” on klassikaline spiooniprogramm, mis käivitamisel registreerib end

Windowsi süsteemiregistrisse ning seejärel jääb ooterežiimi.Muuhulgas võib selle
programmi abil kopeerida nakatunud arvutist andmeid, lugeda aadressiraamatust
aadresse neid seejärel vajalikku kohta edasi saates jne. Samas võib nakatunud arvutit
kasutada nn “open relay” serverina rämpsposti edasisaatmiseks.

“On selge, et “Throd” loodi rämpspostitajate mailiaadresse sisaldavate

andmebaaside täiendamiseks. See kinnitab veelgi viirustekirjutajate ning
rämpspostitajate üha tihenevat koostööd”, ütles Jevgeni Kasperski, Kasperski Lab-i
juht

Rahutust tekitab fakt, et siiamaani pole Internet Explorerile loodud uuendust,

mis selle turvaaugu parandaks. Seega on ainuke reaalne kaitse ünnaku vastu
viirusetõrje programm. “Pole ka välistatud samasuguse rünnaku võimalus Windowsi
teiste versioonide vastu. Sel juhul soovitame kõigile kasutajatele, sõltumata
operatsioonisüsteemi versioonist, võtta kasutusele vajalikud abinõud”- lisas Jevgeni
Kasperski.

KAV analüüsib BMP-failide sisu ja eemaldab sealt kõik kahjulikud objektid,

mis püüavad arvutisse pääseda maili teel või internetist. “Agent“ eemaldatakse
arvutist, ilma et oleks vaja viirusetõrje andmebaase uuendada. “Throd”-i vastane
kaitse on juba lisatud KAV-i järgmisesse uuendusse.

Soovitame kasutada Mozillat, mis asub meie FTP serveris:

ftp://ftp.kaspersky.ee/mozilla/mozilla-win32-1.6-installer.exe