В дополнение к предыдущему посту об использовании злоумышленниками поддельного OWA хотелось бы остановиться на технических аспектах данной атаки.
1. Спам
Данные спам-сообщения по предварительным данным были разосланы с ботнета pushdo, построенного с помощью вредоносных программ из семейства Backdoor.Win32.NewRes. Данные вредоносные программы распространяются через спам, социальные сети (с помощью вредоносных программ Net-Worm.Win32.Koobface), через взломанные сайты.
2. Фишинговый сайт
Фишинговый сайт, указанный в спам-сообщении, зарегистрирован на 15 постоянно меняющихся IP-адресах, расположенных в разных Автономных системах интернета.
Пример расположения фишингового сайта
Анализ организации расположения фишингового сайта и его динамически меняющегося содержимого под имя домена в адресе получателя спам-рассылки предполагает, что данная фишинг-атака произведена с помощью технологии «Rock Phish».
3. Троянец
Распространяемая таким образом троянская программа классифицируется «Лабораторией Касперского» как Trojan-Spy.Win32.Zbot. Данная вредоносная программа предназначена для кражи сохраненных на компьютере пользователей паролей от локальных программ, паролей для доступа к вебсайтам, перехвата данных, вводимых пользователем с клавиатуры, и т.д. Также троянец обладает возможностью устанавливать на зараженных компьютерах пользователей другие вредоносные программы. В данном случае троянец координировал свою работу с командным центром, установленным на Украине.
Итог:
Данная атака является одним из примеров атак с применением технологий, уже давно используемых злоумышленниками. Особенностью в этом случае стала подстановка доменного имени в обращении в письме и в ссылку и создание фишингового сайта под OWA. В остальном, все, как обычно 8)
Комментарии (4)
старые сверху
«дерево»
SetupNick15 окт 2009, 23:56
|
|
0 |
|
|
Спасибо за информацию) Ну и чтоб совсем идеально было, как можно легко узнать, что я заражён этим троянцем? Хоть как-то он своё присутсвие ведь выдаёт. Другое дело, что у него версий как моя зарплата, но есть и что-то общее в их поведении?
Или, было бы здорово получить бесплатную утилиту, которая точно мне скажет. Всё же сколько у нас разносчиков заразы, которые не подозревают, что они разносчики. Учитывая, какую популярность набрал Збот в последнее время, надо бы принять профилактические меры...
|
|
Александр Гостев16 окт 2009, 00:33
|
|
|
2 |
|
|
Re:
вы по ссылочке "Trojan-Spy.Win32.Zbot" сходите :)
|
|
|
SetupNick17 окт 2009, 14:46
|
|
|
0 |
|
|
Re: Re:
Сходил)Проверился) Чист) Спасибо)
|
|
|
|
RSS-каналы
