В октябре мы обнаружили несколько вредоносных рассылок, содержащих js-загрузчики. Отправители писем пытались привлечь внимание получателей, используя в теле сообщения текст, характерный для дейтинг-спама. В обнаруженных нами письмах злоумышленники представлялись некой девушкой, находящейся в поиске второй половины или только связи на одну ночь. В своих сообщениях спамеры использовали старые приемы, например, меняющийся от письма к письму текст. Одни письма содержали подробное описание (имя, возраст, место жительства и др.) потенциальной подруги, другие — лишь краткое приветствие и призыв скорее посмотреть фотографии.
Злоумышленники пытались убедить получателя открыть вложения, выдавая их за фотографии девушки-автора письма. Однако вместо обещанных фотографий в ZIP-архивах содержались вредоносные JavaScript-загрузчики, детектируемые продуктами «Лаборатории Касперского» как Trojan-Downloader.Script.Generic.
В приведенном выше примере троянец-загрузчик, находящийся в ZIP-архиве, скачивал на компьютер жертвы бинарный файл boxun4.bin и устанавливал спам-бот Tofsee (также известный как Gheg). Этот бот используется злоумышленниками для проведения последующих спам-рассылок. Командные центры, к которым обращалась программа, территориально находились в Китае.
В другом письме в ZIP-архиве bikini pic2.zip также находился троянец-загрузчик с расширением .js, который закачивал исполняемый EXE-файл, на поверку оказавшийся троянцем Trojan.Win32.Bayrob. Принцип работы этого зловреда прост: сначала Bayrob обращается к удаленному серверу (в нашем случай сервер в доменной зоне .online), загружает другие вредоносные программы, а затем отправляет собранные с их помощью данные злоумышленникам. Отметим, что кража сведений о банковских картах, логины и пароли от систем онлайн-банкинга являются основной целью мошенников. Как результат, желание увидеть чужие интимные фотографии может обойтись жертве очень дорого в прямом и переносном смысле.
JavaScript-знакомства
PasWD
Скажите, а как запускается непосредственно сам троянец? Неужели непосредственно при распаковке архива, или же всё-таки надо вручную запустить некоторый файлик внутри? Спасибо
Татьяна
Js-файл, находящийся в архиве запускается вручную самим пользователем.
Андрей
Подскажите, а почтовые сервера не защищают от подобных сообщений и влодений в письме? Как защитить свой компьютер? KIS поможет? От подобных вложений есть проактивная защита? Спасибо.
Для публикации
Прикольно, мои фото.exe)