«Лаборатория Касперского», ведущий разработчик систем защиты от вирусов, хакеров и спама, сообщает о новой массовой эпидемии целой комбинации вредоноcных программ, сочетающейся с несанкционированным проникновением в компьютерные системы. Эпидемия затрагивает веб-серверы под управлением IIS5 (Microsoft Internet Information Server 5) и, во вторую очередь, пользовательские компьютеры, которые обращаются к пораженным веб-серверам при помощи популярного браузера Internet Explorer. При этом злоумышленники применяют нестандартный механизм заражения пользовательских компьютеров. Так, они взламывают веб-сервер, работающий под управлением IIS5, и заражают его троянской программой Trojan.JS.Scob.a. Аналитики «Лаборатории Касперского» предполагают, что проникновение на IIS5-сервер осуществляется через уже известную либо принципиально новую уязвимость.
Затем при посещении какой-либо веб-страницы на зараженном веб-сервере с использованием браузера Microsoft Internet Explorer троянская программа перехватывает управление и обращается к веб-сайту, на котором находится специальный PHP-скрипт, использующий еще одну, неизвестную до сегодняшнего дня уязвимость, но уже в браузере Internet Explorer. Наконец, за счет использования этой уязвимости, на пользовательский компьютер устанавливается одна из версий программы-шпиона Backdoor. Padodor (модификаций w, x, y, z), предоставляющей злоумышленникам возможность полного контроля над зараженной машиной.
Результаты анализа кода программы-шпиона «Padodor» позволяют определить ее авторов. В тексте программы присутствует «авторская строка» со словами «Coded by HangUp Team». Это дает основания предполагать, что инициатором данной акции является известная команда «вирусописателей» и хакеров HangUp, также подозреваемая в создании ряда других вредоносных программ. Например, их рук дело — обнаруженный недавно печально известный червь «Padobot» (также известный как «Korgo»), который атакует компьютеры через уязвимость LSASS, а для получения команд от злоумышленников использует каналы чата IRC.
Группа «HangUp Team» была создана тремя жителями Архангельска. В 2000 году они были арестованы и приговорены к условным срокам заключения за создание и распространение вредоносных программ. Однако в настоящее время команда «HangUp», включающая в себя представителей компьютерного андерграунда со всего постсоветского пространства, вновь ведет активную деятельность. Группа также известна благодаря своим крепким связям со спам-индустрией, — сообщили «Вслух.Ру» в информационной службе «Лаборатории Касперского».
«Не исключено, что в данном случае имеет смысл вести речь о „Zero-day Exploit“,
Процедуры защиты от Trojan.JS.Scob.a и модификаций x, y, z программы-шпиона Backdoor. Padodor добавлены в базу данных Антивируса Касперского.