Лаборатория Касперского обнаружила вредоносное дополнение к ссылке Facebook.

Лаборатория Касперского  обнаружила вредоносное дополнение к ссылке Facebook.

Недавно обнаружилось, что через сервисы обмена мгновенными сообщениями была проведена спам-рассылка сообщений с вредоносными ссылками. Выяснилось, что рассылка производилась IM-червем Zeroll. Бот генерировал разные сообщения в зависимости от языка получателя. Злоумышленники использовали, как это часто бывает, методы социальной инженерии, предлагая получателям посмотреть картинки с заманчивыми названиями.

В конец сообщения добавлялась ссылка на файл Jenny.jpg и аналогичная ссылка на Sexy.jpg.. Причем, страница, на которую ведет ссылка “http://www.facebook.com/l.php?u=”, сама по себе зловредной не является — она содержит предупреждение от Facebook о том, что пользователь покидает сайт. Если же после “l.php?u=” добавить ссылку на произвольный сайт, то по ссылке также откроется окно с предупреждением Facebook. Однако после того, как пользователь нажмет кнопку “продолжить”, он по подставленной ссылке будет перенаправлен на соответствующую страницу. Этим и воспользовались злоумышленники, дополнив легитимную ссылку ссылкой на вредоносный ресурс. Когда браузер переходит на страницу ********.org/Jenny.jpg, ему выдается файл , который может быть запущен на исполнение пользователем. Далее, по тексту, упоминая jenny.jpg и sexy.jpg, будет подразумеваться именно исполняемый файл, упомянутый в предыдущем предложении. После анализа “jenny.jpg” и “sexy.jpg”, выяснилось, что это обычные даунлоадеры, защищенные упаковщиком, написанном на Visual Basic. Задача даунлоадеров стандартна для этого вида программ: на зараженный компьютер , несущие вирус — файл srce.exe. А чтобы пользователь ничего не заподозрил, даунлоадеры после установки на компьютере открывают обещанную в разосланном спам-сообщении «интересную» картинку. Картинка подгружается из интернета — ссылка на нее видна на скриншоте. Srce.exe представляет из себя дроппер + загрузчик, внешняя оболочка которого, опять же, написана с использованием Visual Basic. Скачивает он червя IM-Worm.Win32.XorBot.a, который использует Yahoo Messenger для рассылки сообщений пользователям. Таким образом, в ходе данной спам-рассылки в IM-сообщениях используется не прямая ссылка на вредоносный объект, а ссылка, указывающая на страницу Facebook. Можно сказать, что в данном случае Facebook используется как сервис, аналогичный bit.ly: он позволяет преобразовывать ссылки и переходить на них через собственный домен. В настоящий момент спам-атака Zeroll продолжается. В сообщениях рассылаются ссылки на другие файлы, но с не менее «заманчивыми» именами — “Girls.jpg” и “Marisella.jpg”. И хотя многие знают, что нельзя бездумно переходить по ссылкам, даже если они присланы людьми из контакт-листа, не лишним будет об этом еще раз напомнить.
Заказ звонка

Оставьте заявку и мы перезвоним Вам

Консультация менеджера

Бесплатная консультация менеджера

Купон на скидку

Распечатайте купон и получите скидку

О нас

Наша компания предлагает Вам высококачественную электротехнику. Все, что Вам необходимо для того, чтобы иметь высокий уровень безопасности в Вашем доме и офисе. Стабилизаторы напряжения, источники бесперебойного питания и автоматические системы выключения. Более того, мы предлагаем Вам полный спектр услуг за данным оборудованием, таких как монтаж, обслуживание и ремонт. Мы готовы сделать Вашу безопасность своей задачей.

Популярные модели

13 000 руб.
42 900 руб.
171 000 руб.
65 000 руб.