Новая атака

Последняя неделя июня ознаменовалась вредоносной спам-рассылкой, в которой письма представляли собой уведомления о получении поздравительных открыток. При открытии пользователем содержащейся в таком послании ссылки происходила загрузка на его компьютер новой модификации «штормового» троянца, приобщающего инфицированные машины к армии ботнетов, рассылающих спам.

Спамерские «поздравления», озаглавленные «You’ve received a postcard from a family member!» («Открытка от ваших близких»), загружали в систему получателя downloader через JavaScript. Если JavaScript на пользовательском ПК был заблокирован, получателю предлагалось самому загрузить троянца, скопировав адрес «открытки» в окно браузера. Однако вместо обещанного поздравления по ссылке открывалось уведомление о тестовом прогоне некоей «новинки», требующей для просмотра «открытки» загрузки файла «ecard.exe»

По оценке специалистов SANS, в данной атаке использовались три разных эксплойта, которые в порядке очередности работали против уязвимостей в QuickTime, WinZip и WebViewFolderIcon.

Троянская спам-рассылка отличалась большой агрессивностью. Исследователи AvertLabs регистрировали десятки писем в секунду, а специалисты Symantec за несколько дней заблокировали более 18 миллионов вредоносных посланий с гонконгского домена.

Согласно экспертной оценке, новая волна рассылок свидетельствует об очередном обострении борьбы двух крупных спамерских группировок за обладание ботнетами. Видимо, злоумышленникам становится тесно в Сети: исследователи MyNetWatchman наблюдали DDoS-атаку «штормового» троянца на сервер, используемый троянской программой-спамером Srizbi. Последняя с помощью php-комплекта Mpack загружается на машины жертв и удаляет оттуда «чужие» руткиты. Поскольку «штормовой» червь тоже использует руткиты, его «хозяева» выбрали наиболее эффективный способ защиты — нападение.

Источник: The Register