Если вам пришло сообщение о замене пароля, снабженное zip-вложением и отправленное от имени службы техподдержки Facebook или MySpace, — не верьте. Это работа спамботов. Администрация социальной сети никогда не воспользуется электронной почтой, чтобы предупредить вас о взломе аккаунта, и уж тем более не будет высылать новый пароль вложенным файлом.
По свидетельству экспертов, первые спамовые послания на эту тему с поддельным обратным адресом Facebook появились 26 октября. Прикрепленный zip-файл, как и следовало ожидать, содержал сюрприз в виде вредоносной программы, которой в ЛК было присвоено имя Packed.Win32.Krap.w. В начале атаки ее детектировали менее трети антивирусов из списка VirusTotal. При запуске зловред соединялся с двумя командными серверами в Голландии и в Казахстане — и загружал другие вредоносные файлы, в том числе представителя семейства Bredolab (Backdoor.Win32.Bredolab). Эти троянские бэкдоры позволяют злоумышленникам установить полный контроль над зараженным компьютером.
В первый день атаки Websense насчитала более 90 тыс. таких писем. На следующий день, по оценке Cloudmark, их поток увеличился до 500 тыс., а на третий составил почти три четверти миллиона. Затем имя отправителя в строке From: было изменено на «Myspace», хотя текст «подтверждения смены пароля» и вредоносное вложение остались прежними. Не исключено, что в ближайшем будущем объектами спам-кампании могут стать пользователи других социальных сервисов. Вероятно, ее авторы надеются, что после и скандальной публикаци идентификаторов почтовых веб-аккаунтов такой предлог, как забота о безопасности пользователя, будет достаточным, чтобы убедить его открыть вредоносное вложение.
Комментарии (7)
старые сверху
«дерево»
Мягкий Еж03 ноя 2009, 21:31
|
|
0 |
|
|
По аналогии:
"Ваш новый пароль: you_loser" - такой заголовок лучше запомнится юзерам и они станут бережнее относится к паролям )))
|
|
Сергей Голованов03 ноя 2009, 22:34
|
|
|
-1 |
|
|
Подробности о bredolab тут
http://www.securelist.com/ru/analysis/208050559/Fabrika_nazhivy
|
|
Татьяна Никитина03 ноя 2009, 23:01
|
|
|
-1 |
|
|
Re: Подробности о bredolab тут
Спасибо, Сергей, я давно оценила Вашу с Игорем добросовестную статью и не упускаю случая на нее указать - см. текстовую ссылку :)
|
|
|
Сергей Голованов03 ноя 2009, 23:18
|
|
|
1 |
|
|
Re: Re: Подробности о bredolab тут
Ок!) Тогда можно и эти 2ве ссылки дать:
1. Описание:
http://www.securelist.com/ru/descriptions/12295579/Backdoor.Win32.Bredolab.d
2. Статистика:
http://www.kaspersky.com/viruswatchlite?search_virus=Bredolab
|
|
|
Татьяна Никитина04 ноя 2009, 01:24
|
|
|
-1 |
|
|
Re: ссылки
Спасибо за подсказку, она полезна всем. В описания ЛК я частенько заныриваю, и по Virus Watch регулярно сверяюсь при подготовке новостей: надо же изучить родную матчасть, чтобы оценить
серьезность угрозы :)
А Bredolab что-то разгулялся с конца лета, привлекая к себе внимание экспертов.
В Trend Micro, как и у нас, заговорили о симбиозе Bredolab-Pushdo-ложные антивирусы, добавляя сюда Zbot, и выдвинули гипотезу о существовании единой (российской) группировки Bredolab-Pushdo - http://us.trendmicro.com/imperia/md/content/us/trendwatch/researchandanalysis/bredolab_final.pdf.
Мне же больше импонирует академичное и обстоятельное исследование Symantec -
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/the_bredolab
_files.pdf.
|
|
Iohid04 ноя 2009, 20:30
|
|
|
-1 |
|
|
а разве можно отправить письмо с подменой адреса и вложенным файлом?
|
|
|
Ссылки по теме
Также в аналитике
В глоссарии
В веблоге
|
RSS-каналы
