ФБР ищет автора червя VBMania

ФБР ищет автора червя VBMania

Федеральное бюро расследований решило взяться за изучение обстоятельств, связанных с масштабным распространением червя VBMania. Особенный интерес следователи проявляют к личности разработчика вредоносной программы: представители ФБР уже посетили офис компании IDG News Service и допросили сотрудников. Именно с IDG автор червя, называющий себя Iraq Resistance ("Иракское сопротивление"), обменялся несколькими электронными письмами в течение последних двух недель. Темой писем, естественно, был VBMania.

Напомним, что атака этой вредоносной программы имела большой резонанс  на всем североамериканском континенте. Червю удалось проникнуть в корпоративные ЛВС ряда крупных организаций; в списке пострадавших - Disney, Proctor & Gamble, NASA. По данным Cisco Systems, электронные письма с вложенным VBMania в первый же день его распространения составили от 6 до 14 процентов всей нежелательной корреспонденции в Сети.

Сообщается, что следователи располагают несколькими нитями, которые могут вывести их на разработчика вредоносной программы. Первоочередным вопросом является его географическое местоположение; согласно пользовательскому профилю на YouTube, автор VBMania находится в Испании, в то время как исследователь из компании SecureWorks Джо Стюарт, проанализировав червя, пришел к заключению, что Iraq Resistance - это хакер из Ливии, участник или основатель группировки приверженцев кибер-джихада "Tariq ibn Ziyad", чья декларируемая цель - взломать информационные системы подразделений Армии США. Технические данные, извлеченные из электронных писем злоумышленника, указывают на мобильную сеть провайдера Hutchison 3G UK; также сведения об IP-адресах позволили установить, что автор вредоносной программы работал через обозреватель Opera Mini.

Сам разработчик написал в одном из последних электронных сообщений, что может успешно скрывать свое истинное местоположение при помощи взломанных компьютеров или прокси-серверов. Когда в ответном письме автору VBMania намекнули, что использованные им IP-адреса отслежены и определены как находящиеся в Великобритании, то cловно бы в доказательство своей способности появляться из любой точки сетевого пространства свое следующее сообщение он прислал с адреса, ассоциированного с американским провайдером Placentia Reliable Web Services.

Отметки о дате и времени, содержащиеся в письмах, позволили установить, что отправитель находится в часовом поясе UTC +3. Это может означать Ирак, Саудовскую Аравию, регион восточной Африки. Памятуя о предположениях г-на Стюарта, необходимо заметить, что в Ливии другой часовой пояс. Исследователь SecureWorks, тем не менее, выразил обоснованные сомнения относительно возможного пребывания разработчика VBMania в Соединенном Королевстве и указал, что для Iraq Resistance находиться там "рискованно": между Великобританией и США существуют договоры об экстрадиции.

PC World

" />

В 7-Zip нашли уязвимость: вредоносный XZ-архив может запустить код

В 7-Zip обнаружили опасную уязвимость CVE-2026-14266, которая позволяет атакующему выполнить произвольный код через специально подготовленный XZ-архив. Из-за переполнения буфера приложение может записать данные за пределами выделенной памяти.

Проблема связана с обработкой фрагментированных XZ-данных. Если эксплуатация сработает, злоумышленник получит возможность запускать код с правами текущего процесса 7-Zip.

Для атаки всё же нужно участие пользователя: жертву необходимо убедить открыть вредоносный архив или скачать его с подконтрольного сайта. Поэтому массового автоматического взлома по воздуху здесь нет, зато для фишинга схема подходит прекрасно.

Опасный файл можно замаскировать под обновление, резервную копию, пакет документов или обычный архив из мессенджера. Уязвимость получила 7 баллов из 10 по шкале CVSS.

Аутентификация и предварительный доступ к устройству атакующему не нужны. После успешной эксплуатации он сможет запустить вредонос, украсть доступные пользователю данные, изменить файлы или просто уронить систему.

О случаях применения CVE-2026-14266 в реальных атаках пока не сообщается. Но технические подробности уже опубликованы, а значит, желающие собрать рабочий эксплойт получили неплохую инструкцию к действию.

Разработчики исправили проблему в 7-Zip 26.0. Пользователям советуют обновиться как можно скорее и не открывать неожиданные XZ-архивы из писем, чатов и файловых обменников.

Архив с названием «документы_важное.xz» теперь лучше сначала проверить. Потому что внутри может лежать не документ, а очень инициативный чужой код.

RSS: Новости на портале Anti-Malware.ru