Посетители многих европейских сайтов в минувшие выходные подхватили необычную «заразу». Новый червь Bofra распространялся через баннерообменные сети и заражал компьютер в том случае, если пользователь щелкал по баннеру. «Червивый» баннер ничем не отличался от остальных, но при нажатии на него пользователь попадал на сайт search.comedycentral.com (199.107.184.146). Этот сайт уже был заражен червем Bofra-A, который мгновенно запускал на выполнение вредоносный скрипт, использующий известную уязвимость в браузере Internet Explorer, связанную с некорректной обработкой тега IFrame. Как сообщается, «зараженные» баннеры проникли в крупную европейскую баннероообменную сеть Falk. В течение субботы эти баннеры демонстрировались на крупнейших британских сайтах, в том числе на сайте The Register. Эти же баннеры демонстрировались на крупнейшем новостном сайте Нидерландов с аудиторией в 450 тыс. уникальных посетителей в месяц, а также на других крупных голландских сайтах. После выполнения вредоносного скрипта червь Bofra-A загружает встроенный веб-сервер, который прослушивает один из портов в диапазоне от 1600/TCP до 1700/TCP, а также открывает IRC-соединение по порту 6667/TCP, позволяя удаленному злоумышленнику управлять системой.
Вебпланета