RSS-каналы
Уровень опасности: 1
Главная→Блог→Новости→ 3 ноя 2009→Ваш новый пароль: Bredolab
Ваш новый пароль: Bredolab
Блогер
опубликовано 3 ноя 2009, 17:31 MSK
Сюжеты: Рассылка спама, Социальная инженерия в спаме
Если вам пришло сообщение о замене пароля, снабженное zip-вложением и отправленное от имени службы техподдержки Facebook или MySpace, — не верьте. Это работа спамботов. Администрация социальной сети никогда не воспользуется электронной почтой, чтобы предупредить вас о взломе аккаунта, и уж тем более не будет высылать новый пароль вложенным файлом.
По свидетельству экспертов, первые спамовые послания на эту тему с поддельным обратным адресом Facebook появились 26 октября. Прикрепленный zip-файл, как и следовало ожидать, содержал сюрприз в виде вредоносной программы, которой в ЛК было присвоено имя Packed.Win32.Krap.w. В начале атаки ее детектировали менее трети антивирусов из списка VirusTotal. При запуске зловред соединялся с двумя командными серверами в Голландии и в Казахстане — и загружал другие вредоносные файлы, в том числе представителя семейства Bredolab (Backdoor.Win32.Bredolab). Эти троянские бэкдоры позволяют злоумышленникам установить полный контроль над зараженным компьютером.
В первый день атаки Websense насчитала более 90 тыс. таких писем. На следующий день, по оценке Cloudmark, их поток увеличился до 500 тыс., а на третий составил почти три четверти миллиона. Затем имя отправителя в строке From: было изменено на «Myspace», хотя текст «подтверждения смены пароля» и вредоносное вложение остались прежними. Не исключено, что в ближайшем будущем объектами спам-кампании могут стать пользователи других социальных сервисов. Вероятно, ее авторы надеются, что после и скандальной публикаци идентификаторов почтовых веб-аккаунтов такой предлог, как забота о безопасности пользователя, будет достаточным, чтобы убедить его открыть вредоносное вложение.
|
03 ноя 2009, 21:31
По аналогии: |
|
03 ноя 2009, 22:34
Подробности о bredolab тут |
|
-1 |
Re: Подробности о bredolab тут
Спасибо, Сергей, я давно оценила Вашу с Игорем добросовестную статью и не упускаю случая на нее указать - см. текстовую ссылку :)
|
1 |
Re: Re: Подробности о bredolab тут
Ок!) Тогда можно и эти 2ве ссылки дать:
1. Описание:
http://www.securelist.com/ru/descriptions/12295579/Backdoor.Win32.Bredolab.d
2. Статистика:
http://www.kaspersky.com/viruswatchlite?search_virus=Bredolab
|
-1 |
Re: ссылки
Спасибо за подсказку, она полезна всем. В описания ЛК я частенько заныриваю, и по Virus Watch регулярно сверяюсь при подготовке новостей: надо же изучить родную матчасть, чтобы оценить
серьезность угрозы :)
А Bredolab что-то разгулялся с конца лета, привлекая к себе внимание экспертов.
В Trend Micro, как и у нас, заговорили о симбиозе Bredolab-Pushdo-ложные антивирусы, добавляя сюда Zbot, и выдвинули гипотезу о существовании единой (российской) группировки Bredolab-Pushdo - http://us.trendmicro.com/imperia/md/content/us/trendwatch/researchandanalysis/bredolab_final.pdf.
Мне же больше импонирует академичное и обстоятельное исследование Symantec -
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/the_bredolab
_files.pdf.
04 ноя 2009, 20:30
а разве можно отправить письмо с подменой адреса и вложенным файлом? |
Ссылки по теме
Также в аналитике
В глоссарии
В веблоге
© ЗАО «Лаборатория Касперского», 1997-2010
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей