Бразильские вирусописатели: каждой стране — свой зловред

Бразильские вирусописатели выходят на новый этап. Если до недавнего времени они рассылали спамовые письма со ссылками на зловреды буквально на все украденные адреса, то сейчас они начали дифференцировать базы данных украденных адресов. Другими словами, сегодня для каждой страны они рассылают спам со ссылкой на определенный зловред. Вот пример одного из таких писем:

Данная спам-рассылка была сориентирована на жертв в Эквадоре — многие домены в адресах получателей прямым образом указывают на это. Что же касается доменов типа hotmail.com и других, то злоумышленники для того, чтобы определить, в какой стране проживает их потенциальная жертва, используют простой запрос типа “POST” на удаленный веб-сервер с PHP-скриптом, который ведет реестр географической привязки. Например, server.com POST /In.php.

В целом схема воровства почтовых адресов, как правило, очень проста. На инфицированной машине запускается код, который считывает все адреса из списка контактов баз данных почтовых клиентов. Например, для программы Outlook Express считывание происходит из фала .wab.

Таким образом, мы видим, что бразильские вирусописатели стремятся выйти на новый рубеж: каждой стране — свой зловред. Так вирусописатели пытаются снизить вероятность попадания сампла в руки антивирусных компаний, которые не занимаются региональными антивирусными исследованиями. Пример тому — вредоносный самл, полученный по ссылке в приведенном выше спам-письме. Спустя почти двое суток этот зловред по-прежнему не детектируется многими авторитетными антивирусами. Согласно последнему сканированию сервисом Virustotal, данный сампл имеет следующий детект: 9/41 (21.96%).