Посетители многих европейских сайтов в минувшие выходные подхватили необычную заразу. Новый червь Bofra распространялся через баннерообменные сети и заражал компьютер в том случае, если пользователь щелкал по баннеру. Червивый баннер ничем не отличался от остальных, но при нажатии на него пользователь попадал на сайт search.comedycentral.com (199.107.184.146). Этот сайт уже был заражен червем Bofra-A, который мгновенно запускал на выполнение вредоносный скрипт, использующий известную уязвимость в браузере Internet Explorer, связанную с некорректной обработкой тега IFrame. Как сообщается, «зараженные» баннеры проникли в крупную европейскую баннероообменную сеть Falk. В течение субботы эти баннеры демонстрировались на крупнейших британских сайтах, в том числе на сайте The Register. Эти же баннеры демонстрировались на крупнейшем новостном сайте Нидерландов с аудиторией в 450 тыс. уникальных посетителей в месяц, а также на других крупных голландских сайтах. После выполнения вредоносного скрипта червь Bofra-A загружает встроенный веб-сервер, который прослушивает один из портов в диапазоне от 1600/TCP до 1700/TCP, а также открывает IRC-соединение по порту 6667/TCP, позволяя удаленному злоумышленнику управлять системой. Размножается червь весьма оригинально, и поэтому борьба с ним чрезвычайно затруднена. Дело в том, что он не рассылает свои копии в виде аттачмента, а рассылает обычные письма без вложений, в которые внедряются динамически генерируемые ссылки на файл с зараженного компьютера. Вариант Bofra-B использует для размножения ту же технику, но в тексте письма вместо просмотра откровенных фотографий предлагает подтвердить транзакцию в системе PayPal. К счастью, в обоих случаях приглашение написано по-английски, а не по-русски, так что никакой эпидемии в Рунете не случилось. О появлении зараженных баннеров у нас тоже ничего не сообщалось. Уязвимость в обработке тега IFrame, которую использует для размножения червь, присутствует во всех версиях Internet Explorer, кроме систем с установленным Windows XP SP2.
|