Троянец торопится возвестить о победе Обамы

На следующее утро после выборов нового президента США специалисты по сетевой безопасности зафиксировали появление вредоносных «горячих новостей», на долю которых в первые часы рассылки приходилось 60% спам-трафика.

По данным экспертов, эти нелегитимные сообщения распространяются с ботнета Srizbi от имени различных новостных источников – BBC, CNN, USA Today, блога unitedstates.com либо пресс-центра избирательной комиссии. Объем спам-рассылки составляет несколько десятков миллионов писем. При большом разнообразии заголовков текст спамовых посланий неизменен и призывает просмотреть видеоролик с благодарственной речью Обамы.

Пройдя по указанной в теле письма ссылке, получатель попадает на веб-страницу, имитирующую официальный правительственный ресурс america.gov. При попытке запустить «видеоролик» на экране появляется уведомление о необходимости обновления соответствующего плагина. На самом деле предлагаемый к загрузке файл adobe_flash9.exe содержит троянскую программу с функциями даунлоудера, предназначенную для хищения пользовательской информации и защищенную руткитом.

По имеющимся сведениям, данная программа относится к семейству кейлоггеров, представители которого использовались в недавних кибератаках на клиентуру банковских структур, в том числе Wachovia. На начальном этапе атаки ее смогли идентифицировать только 14 из 36 наиболее распространенных антивирусов.

Как обнаружили исследователи, поддельная веб-страница america.gov размещена на пяти доменах, зарегистрированных в день выборов китайской компанией-регистратором BizCN.com. Вредоносный веб-хостинг меняется по технологии fast-flux со скоростью примерно 14 IP-адресов в час. Используемые злоумышленниками серверы размещены на территории европейских стран и на Тайване. Похищенная кейлоггером информация отсылается в Киев на IP-адрес некоего Марка Либермана, являющегося абонентом интернет-провайдера Zhitomir.Net.

Еще через пару дней из того же источника была проведена спам-рассылка по идентичному сценарию, но с использованием другого шаблона. Новый вариант вредоносного письма повествовал о скандале в Белом доме и предлагал посмотреть видеоролик, главным героем которого якобы был Маккейн, призывающий к импичменту Обамы.

«Фармаспамеры» тоже не преминули использовать интерес мировой общественности к итогам выборов в США и провели
спам-рассылку
в поддержку одиозного ресурса Canadian Pharmacy. Заголовки рекламных писем вещали о сердечном приступе у Джона Маккейна, о гибели обоих претендентов на президентский пост, намекали на пикантные подробности личной жизни «звездных» политиков и их близких. Однако организаторы атаки не потрудились даже правильно написать фамилии, используемые в качестве приманки.

Источник: garwarner.blogspot.com

Источник: sophos.com

Источник: blogs.zdnet.com