Исследовательская лаборатория TrendLabs компании Trend Micro сообщает о появлении нового трояна, загружающегося из интернета вместе с анимированными курсорами.
Популярные сейчас анимированные курсоры можно бесплатно скачать в интернете, однако вместе с курсором на компьютер может быть установлено вредоносное ПО. В качестве примера можно привести недавно обнаруженный Trend Micro эксплойт нулевого дня TROJ_ANICMOO.AX, загружающийся вместе с анимированным курсором.
Новая угроза представляет собой .ANI файл, который попадает в систему из сети.
Троян TROJ_ANICMOO.AX использует уязвимости, с которыми при использовании форматов анимированных курсоров и значков сталкиваются Windows 2000, XP, Server 2003 и Vista. Злоумышленники могут приводить в действие эту уязвимость, создавая курсоры или файлы значков, удаленно приводящие в действие вредоносный код после того, как пользователь посетил зловредный сайт или открыл специально созданное электронное письмо. Затем троян получает доступ к определенному сайту, чтобы запустить файл, определяемый TrendLabs как TROJ_SMSLL.DRF. Злоумышленники, у которых получается использовать эту уязвимость ОС, получают полный контроль над пораженной системой. Код эксплойта для этой уязвимости публично доступен, и злоумышленники активно его используют. Уже обнаружено более 450 сайтов, на которых находятся эксплойты.
Михаил Кондрашин, руководитель центра компетенции Trend Micro в России и СНГ, рекомендует до установки этого патча принимать дополнительные меры безопасности:
· Во-первых, следует настроить Microsoft Outlook на отображение сообщений в виде простого текста. Если в почтовом клиенте активирована область предварительного просмотра, то вредоносное письмо может отобразиться на экране автоматически.
· Во-вторых, системные администраторы могут заблокировать доступ к деформированным файлам анимированных курсоров на уровне сетевых периметров, используя HTTP-прокси, почтовые шлюзы и другие технологии сетевых фильтров. Если же просто настроить блокировку ANI. файлов, этого будет недостаточно, ведь такого рода атаки не ограничиваются только этим видом формата файлов.
· В-третьих, необходимо помнить, что нельзя заходить по незапрашиваемым ссылкам. Зачастую ссылки, полученные по электронной почте, через системы мгновенного обмена сообщениями, интернет-форумы, IRC-каналы, представляют собой классический способ заражения, например, как в случае с TROJ_ANICMOO.AX.
