Revista si suplimente
MarketWatch
Inapoi Inainte

Technology >> Securitate >> Stiri si comunicate

BitDefender: anunțuri de angajare capcană

15 Martie 2010



Dată fiind starea actuală a economiei mondiale, infractorii cibernetici îşi deghizează acum mesajele rău-intenţionate în oferte legitime de angajare. Deşi Win32.Worm.Mabezat.J nu este unul dintre cele mai recente exemple de malware, BitDefender a identificat săptămâna trecută o creştere semnificativă de e-mailuri nesolicitate, care conţineau fişiere infectate cu acesta. Mesajul nesolicitat este distribuit în mai multe versiuni de propuneri de angajare, precum Web designer vacancy, New work for you, Welcome to your new work, sau We are hiring you. Acesta mai conţine şi un ataşament aparent inofensiv, denumit winmail.dat (fişier care se presupune că ar conţine informaţii Exchange Server RTF pentru mesajul în cauză, în situaţia în care clientul de mail al destinatarului nu poate afişa mesaje în format Rich Text (RTF). Cu toate acestea, fişierul winmail.dat poate fi dezarhivat fie cu WinRar, fie cu WinZip.


Această abordare practic asigură atacatorul că utilizatorul poate extrage fişierul infectat, dar împiedică filtrele antimalware existente pe serverele de mail să dezarhiveze şi să analizeze conţinutul arhivei. Dacă este deschisă, arhiva va extrage un document Word denumit Readme.doc, dar, la o privire mai atentă, se dovedeşte a fi un fişier executabil infectat cu Win32.Worm.Mabezat.J. Odată accesat, presupusul fişier Readme îşi deschide propriul director (locul unde viermele s-a copiat pe sistem) folosind Windows Explorer. Viermele scrie şi un fişier autorun.inf pe fiecare partiţie, care va încerca să execute automat un executabil nou-creat, denumit zPharaoh.exe (o instanţă diferită a viermelui). Cea mai periculoasă trăsătură a lui Win32.Worm.Mabezat.J este abilitatea acestuia de a infecta fişiere executabile prin înlocuirea primilor 1768 de octeţi ai executabilului cu propriul corp criptat. Viermele îşi începe mereu campania de infectare prin compromiterea executabilului principal Windows Media Player, dar şi a unor fişiere binare din Outlook Express.


Familia Mabezat este extrem de periculoasă: variantele sale nu numai că pot infecta fişiere binare şi uneori chiar şi distruge sisteme de operare în întregime, dar pot să colecteze adrese de email dintr-o mulţime de formate de fişier (între care.XML, .PHP, .LOG, .CHM, .HLP, .CPP, .PAS, .XLS, .PPT, .PDF, .ASPX, .ASP, .HTML, .HTM, .RTF şi .TXT) descoperite pe sistemul respectiv. După compilarea unei liste cu adresele email, viermele începe să se retransmită automat în masă, prin intermediul propriului motor SMTP.firewall, dar şi să fie precauţi dacă li sdeschidă fişiere provenite din surse necunoscute.



Parerea ta conteaza:

(0/5, 0 voturi)

Lasa un comentariu



trimite