Сеанс социальной инженерии

Сегодня по каналам MSN Messenger распространялась ссылка, призывавшая пользователей скачать себе на компьютер некий файл. Это обычное проявление активности IM-червей, которые в этом году доставили уже немало проблем пользователям популярных IM-клиентов.

Большой сюрприз ожидал нас, когда мы узнали, какая именно ссылка рассылается пользователям: http://www.vbulettin[.]com

Если вы интересуетесь информационной безопасностью или антивирусными программами, то вы наверняка удивились не меньше нашего. Ведь Virus Bulletin является одним из наиболее авторитетных журналов антивирусной индустрии, а проводимые им тесты антивирусных программ считаются одними из самых значимых для любого антивируса.

Конечно же, сайт Virus Bulletin не был взломан. На самом деле, если внимательно посмотреть на адрес, то можно заметить, что букв «L» в нем не две, а одна, а букв «T» наоборот две. Да и настоящий сайт Virus Bulletin находится по адресу www.virusbtn.com.

Однако согласитесь, на первый взгляд выглядит очень похоже. Такой вот неожиданный трюк придумали авторы вирусов, пытающиеся сыграть на доверии продвинутых пользователей к авторитетным изданиям по информационной безопасности.

Ах да, по ссылке находился новый вариант Backdoor.Win32.Landis, детектирование которого было добавлено в очередное обновление наших антивирусных баз. Именно он по команде злоумышленника отправляет в сеть MSNM вышеуказанную ссылку.