Вирус, использующий недавно найденную в программных продуктах Microsoft уязвимость при обработке графических файлов формата JPEG, распространяется через службу обмена многновенными сообщениями AOL. По словам экспертов института SANS (SysAdmin Audit Network Security), вирус еще не успел широко распространиться - институт располагает пока лишь двумя сообщениями о заражении. "Такое уже делали в прошлом, только с использованием HTML-кода, а не JPEG, - говорит Джоэнис Ульрих (Johannes Ullrich), технический директор центра по исследованию интернет-атак института SANS. – Это вирус, но он еще не успел распространиться". Вирус действует следующим образом: жертва получает сообщение через IM-службу AOL, которое перенаправляет ее на веб-сайт с инфицированными файлами изображений в формате JPEG. Сообщение выглядит следующим образом: "Check out my profile, click GET INFO!" («Проверь мой профайл, нажми на ПОЛУЧИТЬ ИНФОРМАЦИЮ»). Когда пользователь кликает на ссылку, на его компьютере автоматически запускается вредоносный код, содержащийся в инфицированной картинке. Далее зараженный компьютер автоматически рассылает то же сообщение по всему контакт-листу IM-службы AOL. Вредоносный код содержит также так называемый черный ход (backdoor) - утилиту удаленного администрирования, позволяющую злоумышленнику перехватить управление зараженным компьютером. Еще 29 сентября Микко Хиппонен (Mikko Hypponen) из компании F-Secure предупредил о том, что многим современным средствам антивирусной защиты будет сложно обнаружить зараженные файлы JPEG. Во-первых, антивирус по умолчанию проверяет лишь .exe-файлы. Пользователь может изменить настройки для поиска файлов JPEG, однако злоумышленники тоже могут изменить это расширение на 11 других, включая JPEG2 и ICON. Так что их поиск в корпоративной сети, по словам эксперта, займет немало времени и потребует значительных вычислительных ресурсов. Проблема еще и в том, что Internet Explorer сначала выполняет JPEG-файл, и лишь потом записывает его в свой кэш, так что антивирус не может обнаружить вредоносную картинку до заражения. "Это означает, что недостаточно проверять на вирус сам компьютер, - говорит эксперт. – Нужно сканировать на шлюзе, но это может значительно отразиться на пропускной способности сети".
CNews