«Хакерский баннер» эксплуатировал известную уязвимость в Windows Metafile (WMF), чтобы установить на компьютер жертвы программы семейства PurityScan/ClickSpring — это программы класса adware, которые отслеживают поведение пользователя и генерируют рекламные всплывающие окна, сообщает WashingtonPost со ссылкой на специалистов по безопасности из компании iDefense (http://www.idefense.com/). Они первыми заметили некорректное поведение баннера. Это обнаружилось случайно, когда один из сотрудников бродил по страницам портала MySpace.com с помощью браузера под Linux. В какой-то момент у него на компьютере выскочило системное сообщение с вопросом, хочет ли он открыть файл под названием exp.wmf.

Эксперт сразу понял, в чем дело. Еще в январе 2006 г. Microsoft выпустила патч, закрывающий серьезную дыру в Windows, связанную с обработкой WMF-изображений. С тех пор уже семь месяцев хакеры активно используют эксплоиты данной уязвимости. Но такое массовое заражение наблюдается впервые.

Пользователи с браузером Internet Explorer под Windows при посещении страницы со злополучным баннером не получали никакого системного сообщения. Их компьютер подвергался атаке без предупреждения: сначала скачивался троянский конь, который, в свою очередь, устанавливал на компьютере шпионские программы семейства PurityScan/ClickSpring.

Информация об успешном взломе отправлялась на русскоязычный сайт в Турции, где подсчитывалось количество жертв. По данным этого сайта, зараженными оказались 1,07 млн компьютеров.

Источник: http://habrahabr.ru