“Лаборатория Касперского” зафиксировала факт массовой рассылки “троянского коня” TrojanDownloader.Win32.Smokedown, замаскированного под программу лечения Интернет-червя Klez.
Вредоносный код рассылается с помощью электронной почты. Зараженные письма (их тема: You're under a serious threat!) имеют формат HTML и содержат следующий текст: Kaspersky Labs urging users to take the necessary measures to protect themselves against the mounting threat from the latest version of the Internet-worm Klez, most users lightly regarded the problem of securing their personal data, resulting in a global Internet virus epidemic. Over the past several days our technical support services have received over twelve thousand inquiries concerning Klez Internet worm infections.
В качестве отправителя письма указан абонент “Kaspersky Labs” и адрес support@kaspersky.com. В действительности же вредоносная программа рассылается анонимным злоумышленником с одного из австралийских почтовых серверов, а информация об отправителе умышленно фальсифицирована.
В теле письма также содержится замаскированный Java-скрипт, который незаметно загружает с удаленного сервера троянскую программу Smokedown и устанавливает ее на компьютер. Для этого вредоносный код использует брешь в системе безопасности Internet Explorer, которая была обнаружена в конце марта 2001 г. и описана в бюллетене Microsoft (www.microsoft.com/technet/security/bulletin/MS01-020.asp).
“Заплатку”, устраняющую данную брешь, можно загрузить с сайта: www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp.
Процедуры защиты от троянца Smokedown включены в базу данных “Антивируса Касперского” около месяца назад.