"Лаборатория Касперского" сообщила некоторые подробности относительно поразившей интернет новой массовой эпидемии. В ходе новой атаки используется целая комбинация вредоноcных программ, которые применяются вместе с несанкционированным проникновением в компьютерные системы. Эпидемия затрагивает веб-серверы на базе Microsoft Internet Information Server 5 (IIS5) и пользовательские компьютеры, которые обращаются к пораженным веб-сайтам при помощи браузера Internet Explorer.
Особенно важно то, что злоумышленники применяют нестандартный механизм заражения пользовательских компьютеров. Сначала они взламывают веб-сервер, используя имеющиеся в IIS5 уязвимости, и заражают его написанной на Javascript троянской программой Trojan.JS.Scob.a. Затем, при посещении любой веб-страницы на зараженном сайте браузером Internet Explorer, скрипт-троян перехватывает управление и обращается к веб-сайту, на котором находится специальный PHP-скрипт. Этот скрипт, в свою очередь, использует неизвестную до сегодняшнего дня уязвимость в браузере Internet Explorer.
За счет использования этой уязвимости, на пользовательский компьютер устанавливается одна из версий программы-шпиона Backdoor.Padodor (модификаций w, x, y или z). Этот троян предоставляют злоумышленникам полный контроль над зараженной машиной. Авторами и инициаторами атаки, скорее всего, являются хакеры из России.
Специалисты "Лаборатории Касперского" не исключают, что в данном случае можно говорить о Zero-day Exploit - то есть о бреши, еще никому неизвестной, для которой еще не выпущен соответствующий патч. Иными словами, возможно, что хакеры, обнаружив или выкупив брешь у автора, незаметно заразили IIS-серверы по всему миру для распространения программы-шпиона, утверждают в антивирусной компании.
