11.02.2013  Новости, Безопасность

Корпорация Symantec сообщила о новой троянской программе, которая выводит пользователей на потенциально опасный контент и демонстрирует им рекламные сообщения в виде всплывающих в браузере окон. При этом сами открываемые сайты не заражены и вообще никак не связаны с содержимым всплывающего окна. Программа использует технологию SPF (Sender Policy Framework, среда политик отправителя) для обеспечения устойчивой связи между зараженными компьютерами и серверами злоумышленников и обходит типовые средства защиты. Обычно на пути взаимодействия между вредоносной программой и сервером управления может стоять шлюз или локальный брандмауэр, их соединение может блокироваться системой предотвращений вторжений – IPS. Поэтому авторы вредоносных программ пытаются обойти подобные средства защиты. Обнаруженная экспертами Symantec троянская программа использует для этих целей технологию SPF, изначально созданную для подтверждения легитимности почтовых серверов с целью фильтрации спам-рассылок. Принцип SPF – это отправка запроса к DNS-серверу и анализ его ответа. Если DNS-сервер отправителя настроен на использование SPF, DNS-ответ содержит SPF в виде текстовой (.txt) строки. Идея автора вредоносной программы состоит в том, что при использовании SPF домен или IP-адрес может быть получен через DNS-запрос, при этом сам запрос не обязательно должен исходить непосредственно от зараженного компьютера. Обычно в сети присутствует локальный кэширующий DNS-сервер, который отправляет запросы ... читать далее.