Создатели вирусов используют интерес людей к недавней трагедии в Лондоне

[SDA]

Восьмого июля мировое сообщество было потрясено трагическими событиями, произошедшими в столице Великобритании. Серия взрывов в общественном транспорте не только унесла жизни многих неповинных людей, но и повлияла на весь ход жизни британцев. Вполне закономерно, что отголоски этих событий продолжают привлекать внимание обывателей, не говоря уже о печальной популярности репортажей с места трагедии.

Между тем, ряд злоумышленников использует этот неизбежный интерес публики к последствиям терактов для распространения вредоносных программ. Как сообщает компания Trend Micro, её специалисты обнаружили новую "троянскую" программу по имени TROJ_DONBOMB.A, которая использует недавние террористические акты в Лондоне как основу для своего распространения. Даже название "трояна" созвучно со словосочетанием "London Bomb", что уже говорит о привязке к недавним событиям. Эта программа поступает пользователю по электронной почте, когда он нажимает на гиперссылку, которая якобы ведёт на сайт CNN. В тексте сообщения содержится модифицированная HTML-копия Web-страницы CNN, посвящённой лондонской трагедии, с дополнением, которое предлагает просмотреть любительское видео об этом событии.

Троянская программа TROJ_DONBOMB.A стала последним случаем всё более популярной "социотехники", когда злоумышленники имитируют реальные новостные агентства с целью ускорить распространение вредоносных программ. Имитация сообщений новостных агентств стала относительно новой практикой, которая может приобрести ещё большее распространение в будущем.

Ниже перечислены некоторые другие вредоносные программы, которые используют (или использовали) эту методику:

* Семейство червей BOBAX, варианты которых появились в первой половине 2005 г. Недавно (2 июня 2005 г.) была обнаружена разновидность этого червя BOBAX.P. Каждый вариант этого семейства содержит историю, фальсифицирующую либо смерть Осамы Бен Ладена, либо Саддама Хуссейна, и обещающую предоставить соответствующею информацию, фотографии и т.д. BOBAX.P представляет собой смешанную вредоносную программу (троян/червь), целью которой является загрузка программы TROJ_SMALL.AHE. Последняя распространяет "червя", обеспечивая его запись в память компьютера. Вредоносные программы этого семейства заразили, по оценкам специалистов, более 53 000 компьютеров.

* Вредоносная программа VBS_PHEL.P (обнаружена 10 июня 2005 г.), которая фальсифицирует попытку самоубийства поп-звезды Майкла Джексона в ходе столь широко освещавшегося судебного разбирательства по обвинению в совращении несовершеннолетнего ребенка. Эта вредоносная программа использует уязвимое место HTML Help File Code Execution (MS00-037), которое позволяет запускать программный код с помощью нажатия ярлыков в справочных HTML-файлах без одобрения пользователя. После начала исполнения кода эта вредоносная программа отправляет сообщения на адреса Gmail.com, Hotmail.com и Yahoo.com. Данный вирус использует уязвимое место, известное уже в течение пяти лет, но, тем не менее, ему до сих удается заражать компьютеры по всему миру.

* Червь WORM_ANTIMAN.A (обнаружен 26 апреля 2005 г.), один из вариантов которого обещает показать видео, раскрывающее "истинные причины", которые привели к смерти папы Иоанна Павла II. Этим червём заразились лишь несколько сотен компьютеров. Он сканирует жесткие диски компьютера и удаляет мультимедийные файлы, которые содержат определённые последовательности. Все образцы этого червя были написаны на румынском языке, что, возможно, привело к необычно низкому уровню заражения.

Троянская программа DONBOMB.A используется для сбора адресов электронной почты из заражённой системы с целью дальнейшей рассылки при помощи собственного SMTP-механизма. На данный момент еще не известно, сколько систем было заражено в ходе последней атаки.
http://www.overclockers.ru/softnews/19474.shtml