«Лабораторию Касперского» в минувшие выходные постигла достаточно серьёзная неприятность. Неизвестные злоумышленники произвели хакерскую атаку на сервер компании, и добились того, что подписчикам новостей «Лаборатории» было разослано подложное письмо, содержащее вирус Bridex.
Bridex — вирус довольно неприятный. Во всяком случае, для неопытных пользователей он представляет большую угрозу. Заразить компьютер он может двумя способами: либо воспользовавшись скандальной брешью IFrame (то есть запустившись автоматически при просмотре письма), либо при «ручном» запуске вложения заражённого письма.
Брешь IFrame характерна для браузера Internet Explorer, а соответственно, и для почтовых клиентов семейства Outlook; в последних версиях обеих программ эта уязвимость отсутствует, кроме того, Microsoft давным-давно выпустила закрывающий её патч. Пользователям почтового клиента The Bat! автозапуск вируса не угрожает.
«Лаборатория Касперского» уже устранила все последствия атаки. Стоит отметить, что данная компания никогда не рассылает свои новости в виде писем, содержащих вложения.
Самое неприятное в этой ситуации — даже не столько сам факт взлома и внедрения заражённых писем, сколько то, что объектом атаки (причём атаки успешной) стала именно антивирусная компания, то есть организация, специализирующаяся на разработке средств сетевой безопасности.
Сетевое издание The Register, с присущей ему весёлой злостью сообщило, что, дескать, это хакерствующие детки «объегорили» (outfoxed) российских ветеранов-антивирусников.
Евгений Касперский, руководитель антивирусных исследований «Лаборатории», заявил, что в настоящее время компания проводит расследование «для выявления причин и источников атаки» и предпринимает все необходимые меры для усиления своей системы безопасности.
«К сожалению, хакерские атаки на серверы разработчиков антивирусов случаются довольно часто. За последние годы наша компания стала одним из основных игроков антивирусного рынка, и это привлекает внимание все большего количества хакеров, регулярно пытающихся взломать наши серверы», — заявил основатель «Лаборатории».
По свидетельству The Register, наблюдатели считают, что кому-то из хакеров стал известен почтовый адрес немодерируемого листа рассылки «Лаборатории Касперского». По идее, внутренние системы фирмы не должны были пострадать.
Что касается непосредственного «героя дня» — вируса Bridex, то, по сообщению «Лаборатории Касперского», это вирус-червь, написанный на Visual Basic. Для вируса его размеры довольно велики — 115 Кб.
Червь копирует себя в системный каталог Windows с именем Regedit.exe, а также в подкаталог WindowsDesktop под именем Explorer.exe, и при этом прописывает себя в ключ автозапуска системного реестра. При инсталляции червь также пытается принудительно завершить работу антивирусных программ.
Вирус пытается разослать письма на все электронные адреса, кроме @microsoft.com, используя прямое подключение к SMTP-серверу.
В зависимости от своих счетчиков червь иногда открывает страницы http://www.hotmail.com или http://www.sex.com.
Червь также создаёт в системном каталоге Windows файл MSCONFIG.EXE (или использует присутствующий) и заражает его вариантом вируса «Funlove».
Компания Panda Software отмечает также, что Bridex временно удаляет все ярлыки с рабочего стола.
