|
« : 03.04.2006, 09:38:28 » |
|
Какое-то время назад получил письмо, в котором не было ничего кроме небольшого файла ***.htm и двух строчек о том, что это письмо закодировано и вот вам ID и еще что то, чтобы его просмотреть.
Как ни странно - взял да и сохранил вложение.
После чего попробовал открыть Opera - никакого эффекта.
В файле был javascript-код и ничего больше, из чего как-бы само-собой, что ничего страшного случиться не может если я открою в IE.
Открылись два окошка - для ввода тех самых данных из письма.
После их ввода машина повисла на 5 секунд и.. ничего.
Каково же было мое удивление, когда после этого слетел файрволл и касперский, которые после запуска автоматом снимались.
Вирус ,вероятно, выкачал себя полностью из интеренета и начал свое гнусное дело:)
Вирус выловил все пароли и автоматом заменил на всех моих сайтах индексную страницу на свою.
Лечилось это просто - полным сносом системы.
Как потом оказалось - во вложении был еще файл *.hta, котрый не виден ни откуда.
А вот сообщение от SecurityLabs:
Программа: Microsoft Internet Explorer 6.x
Опасность: Высокая
Наличие эксплоита: Нет
Описание:
Уязвимость позволяет удаленному пользователю скомпрометировать уязвимую систему.
Удаленный пользователь может с помощью специально сформированной Web страницы загрузить на удаленную систему произвольный HTA файл и затем выполнить его с привилегиями пользователя, запустившего браузер. Удачная эксплуатация уязвимости позволит злоумышленнику выполнить произвольный код на целевой системе.
URL производителя:
www.microsoft.com Решение: Способов устранения уязвимости не существует в настоящее время.
Решение одно и на все времена - не пользоваться Internet Explorer и не открывать левых почтовых вложений.
Мой совет - Opera
