Июньские захватнические войны

С начала июня специалисты Marshal наблюдают вспышку вредоносных рассылок с ботнетов Srizbi, Storm и Pushdo, свидетельствующую об усилении конкурентной борьбы за установление контроля над пользовательскими компьютерами.

Согласно статистике компании, обычно на долю злонамеренных посланий, рассылаемых с ботнетов, приходится 1-2% от их спамопотенциала. В первую неделю июня количество спама с вредоносными ссылками и вложениями выросло до невиданных объемов и составило 9,8% спам-трафика, генерируемого ботами.

По оценке Marshal, особой активностью по-прежнему отличаются операторы ботнета Srizbi. Помимо использованных в предыдущей кампании образцов спама, призывающих получателя загрузить на свой компьютер спамбот под видом якобы компрометирующего его видеоролика, данный ботнет предлагает «троянский дуплет», замаскированный под бесплатное порно.

Новые сообщения от Srizbi предельно лаконичны и содержат только ссылку, гласящую: «No credit card needed» («Без оплаты»). Данная ссылка открывает страницу main.html, размещенную на легальном веб-хостинге, которая по оформлению напоминает страницу видеосервиса YouTube и носит созвучное наименование – PornTube. При попытке скачать видеоролик на машину любителя «клубнички» загружается вредоносный файл video1.exe. Веб-браузеры с активным яваскриптом выводят уведомление о том, что для просмотра необходимо установить компонент ActiveX, под видом которого на машину жертвы загружается все тот же файл-даунлоудер.

При установке и запуске даунлоудера получатель «бесплатного порно» становится обладателем спамбота Srizbi и троянской программы FakeAlert Trojan. Последняя генерирует ложные уведомления о наличии в системе шпионского ПО, провоцируя владельца приобрести специальную программу для очистки. Тем временем спамбот Srizbi начинает свою закулисную игру на новом подконтрольном ресурсе.

Что касается вредоносного спама, распространяемого операторами «штормового» ботнета, он по-прежнему полон уверений в романтических чувствах и пытается вынудить получателей кликнуть по ссылке в виде IP-адреса «троянского» веб-хостинга.

«Поклонники знаменитостей» также не отличаются большой изобретательностью и завлекают потенциальных жертв заряженной троянцем виртуальной открыткой, вложенной в спамовое письмо zip-файлом.

Источник: Marshal