Fałszywe e‑maile z UPS przynętą dla wirusa
Laboratorium Panda Security wykryło serię e-maili pochodzących
rzekomo od firmy kurierskiej UPS. Rozsyłane przez hakerów
wiadomości tak naprawdę rozprzestrzeniają groźnego trojana.
17.07.2008 08:00
Krążące w internecie maile rzekomo pochodzą od firmy kurierskiej UPS i oznaczone są tematem "UPS packet N3621583925". W ich treści znajduje się informacja o braku możliwości dostarczenia przesyłki oraz zalecenie wydrukowania kopii załączonej w pliku zip o nazwie "UPS_invoice" faktury. Po otworzeniu dokumentu przez użytkownika na jego komputer dostaje się niebezpieczny trojan Agent.JEN.
Ten złośliwy kod przedostaje się do systemu i zmienia w systemie operacyjnym Windows plik Userinit.exe, który uruchamia przeglądarkę Internet Explorer, interfejs systemu i inne podstawowe procesy. Aby umożliwić dalszą prawidłową pracę komputera i uniknąć podejrzeń o infekcji ze strony użytkownika, niebezpieczny trojan kopiuje plik systemowy do innego miejsca pod nazwą Userini.exe. Ostatecznie Agent.JEN nawiązuje połączenie z domeną rosyjską, wykorzystywaną już przez niektóre trojany bankowe, skąd użytkownik przekierowywany jest na domenę niemiecką, w celu pobrania rootkita i programu typu adware, wykrytych przez PandaLabs jako Rootkit/Agent.JEP i Adware/AntivirusXP2008. To jeszcze zwiększa ryzyko dalszych infekcji.
W efekcie Agent.JEN umożliwia hakerom przedostanie się do komputerów innych internautów i wykonanie niebezpiecznych działań, np. przygotowanie zrzutów ekranowych z wykonywanych działań na komputerze i wykradanie poufnych danych.
- Ten atak to potwierdzenie panującego trendu: cyberprzestępcy działają z ukrycia, bowiem nie są zainteresowani sławą i rozgłosem, ale uzyskaniem finansowych korzyści - mówi Maciej Sobianek, specjalista ds. bezpieczeństwa w firmie Panda Security Polska. - Do tej pory w celu nakłonienia użytkowników do uruchomienia zainfekowanych plików wykorzystywali zdjęcia erotyczne, kartki świąteczne, i fałszywe zwiastuny filmów, ale teraz próbują rozprzestrzenić zagrożenia tak, aby nie wzbudzić podejrzenia internautów - dodaje.