Компьюлента. 3 февраля 2003 года, 23:27
Компания MessageLabs сообщает о появлении новой троянской программы, использующей особенности почтового клиента Outlook Express. В течение двух дней 25 и 26 января фильтры MessageLabs перехватили около 3000 заражённых сообщений. Новый троян был назван W32/Sadhound.
Для маскировки троян использует особенности механизма обработки заголовков электронных писем в Outlook Express. Определение типа вложенного в письмо файла происходит там вовсе не так прямолинейно, как должно бы. Пока у файла только одно расширение, Outlook Express работает правильно. Но если файлу дать сразу три расширения, почтовая программа сделает нечто весьма странное. Первое расширение она покажет пользователю, по третьему подберёт иконку файла, а второе расширение использует, чтобы определить, как открыть этот файл.
Если в качестве первого и третьего расширения указать .jpg, а в качестве второго - .exe, у пользователя не возникнет никаких сомнений в том, что перед ним картинка. Однако при попытке открыть вложение, Outlook Express запустит его, так как второе расширение, по мнению программы, свидетельствует, что это исполнимый файл. Если в письмо будет вложен код, запускающий троян при чтении письма, заразить систему становится совсем просто.
Таким способом иногда удаётся обмануть не только пользователей, но и многие программы, например, почтовые фильтры, отыскивающие файлы по их расширению. Как правило, антивирусные фильтры блокируют исполняемые файлы, но пропускают картинки или архивы. Большинство из них ничего не знает о замысловатом способе определения типа файла, которым пользуется Outlook Express, и обращают внимание только на последнее расширение.
Несмотря на все ошибки в Outlook Express, обнаружить подлог все-таки можно. Если щелкнуть на значке скрепки (для открытия вложения), то имя файла отобразится с первым расширением и многоточием после него. Внимательного пользователя это многоточие должно насторожить - оно свидетельствует о том, что файл может оказаться не тем, чем кажется.