За вирусной PDF-атакой стоит питерский хостинг RBN
Зараженные PDF-файлы начали прибывать на этой неделе как вложения в спаммерской рассылке, с названиями типа YOUR BILL.pdf, INVOICE.pdf или STATEMENT.pdf. Соответственно сообщению Symantec, вирус использует дыру в протоколе "mailto:", которую больше месяца вспять обнаружил популярный хакер Петко Петков (он же недавно нашел дыры в почте Gmail).
Если пользователь открывает зараженный файл, троян вырубает защитные системы Windows и закачивает на зараженный компьютер пару скрытых приложений, которые крадут финансовую и другую ценную информацию. Условия для успешной атаки - браузер IE7 на Windows XP или Windows Server 2003, а кроме того старые версии Adobe Reader или Adobe Acrobat.
При этом шпионские программы закачиваются с серверов российского хостинга RBN, сообщил журналу PC World Кен Данхэм, спец по безопасности из iSight Partners. По его словам, и эти адреса, и сами шпионские файлы давнехонько известны - те же вредоносные коды использовались в сентябре 2006 года для атак посредством дыру в VML. Более подробный разбор хакерского кода в PDF-файлах был сделан нынче и российскими экспертами по безопасности. Они ещё отмечают, что вредоносный загрузчик хостится в сети Russian Business Network.
Как уже рассказывала "Вебпланета", ситуация с этим хостингом достаточно странная. Многие специалисты утверждают, что RBN находится в Петербурге, но представители питерских интернет-компаний отрицают это.
