Ураган «Кирилл», нарушивший коммуникации и транспортную связь в Северной и Центральной Европе и унесший несколько десятков человеческих жизней, вызвал в Интернете вспышку спам-рассылок с троянской «начинкой». Две волны атак киберзлоумышленников, вновь сыгравших на актуальности темы, отличались оперативностью и широкими масштабами.
Спамовые электронные письма с броским заголовком «230 dead as strom batters Europe» («230 погибло в шторм, бушующий над Европой»), разосланные сотням тысяч пользователей Интернета, предлагали узнать сенсационные подробности, якобы содержащиеся во вложении с именем Full Clip.exe, Full Story.exe, Read More.exe или Video.exe. При открытии этого файла запускалась троянская программа Trojan-Downloader.Win32.Small.dam (она же .bet). По словам вирусного аналитика «Лаборатории Касперского» Александра Гостева, данная вредоносная программа после запуска загружает в систему новую версию червя Warezov, занимающего в последнее время первые места в рейтингах вирусной активности. На прошлой неделе данный троянец входил в число наиболее распространенных вредоносных программ в российском почтовом трафике.
Эксперты F-Secure, перехватившие «штормовую» спам-рассылку из Малайзии в самом начале атаки, были поражены стремительностью реакции киберзлоумышленников. По мнению исследователей F-Secure, источник рассылки и ее точный расчет по времени позволяют сделать вывод об азиатском происхождении злонамеренной атаки, направленной, в основном, против европейских интернет-пользователей. Первые спамовые письма с троянцем появились в Сети в ранние утренние часы по европейскому времени.
«Штормовая» атака распространялась в Интернете с невероятной скоростью. По данным Sophos, каждое из 200 электронных сообщений в почтовом трафике несло вредоносный код, две трети писем с вредоносной «начинкой» содержали Small.dam. По экспертной оценке, во всем мире не менее 10000 компьютеров были заражены этим троянцем. Основная масса вредоносных спамовых писем эксплуатировала интерес к разбушевавшейся стихии, хотя экспертами были отмечены еще несколько провокационных тем, в которых фигурировали геноцид против мусульман, детская порнография, серийный убийца и даже имя Кондолизы Райс.
Вторая волна начиненного троянцем спама, последовавшая вслед за первой и зафиксированная Sophos, была слабее и исходила с территорий 80 стран, включая США, Турцию, Южную Корею, Францию, Германию, Великобританию и Бразилию. Тематика вредоносных писем была разнообразной, от восставшего из мертвых Хусейна и почившего Фиделя Кастро до сбитых китайской/российской ракетой российских/американских/китайских самолетов/спутников и ядерной войны. Выбор имен вложенных файлов тоже был расширен: Full Clip.exe, Full News.exe, Full Story.exe, Full Text.exe, Full Video.exe, Read More.exe, Video.exe. Троянской «начинкой» на сей раз стала модификация, использующая Troj/Dorf-Fam. По непроверенным данным, инициатором обеих вредоносных атак является одна и та же криминальная группировка, но доказательства пока отсутствуют.
Источник: The Register
Источник: Yahoo! News
Троянская штормовая атака