«Зевс» — обновление для антивируса

На прошлой неделе «Лаборатория Касперского» выявила массовую рассылку фишинговых писем, написанных от имени ведущих антивирусных компаний. В обнаруженных нами сообщениях фигурировали названия продуктов и сервисов «Лаборатории Касперского», McAfee, ESET NOD32 и многих других.

Текст и общее оформление писем каждой рассылки были выполнены по одному шаблону, различались только имена отправителей и упомянутое в теме письма антивирусное решение. В своих сообщениях злоумышленники предлагали получателю установить важное обновление безопасности для антивируса, защищающее от нового гуляющего по интернету зловреда. Для этого нужно было лишь открыть приложенный к письму ZIP-архив и запустить исполняемый файл. Естественно, сделать это злоумышленники просили немедленно, пока у получателя не возникли обоснованные подозрения относительно настоящих авторов письма и его содержимого.

Пример содержимого одного из фишинговых писем

В то же время одно только имя вложенного файла должно заставить получателя задуматься и заподозрить неладное, ведь в его названии слишком много цифр, явно сгенерированных случайным образом.

На самом деле во вложенном архиве находится вредоносная программа, детектируемая «Лабораторией Касперского» как Trojan-Spy.Win32.Zbot.qsjm. Этот троянец принадлежит к известному семейству Zeus/Zbot и предназначен для хищения конфиденциальной информации пользователя, в первую очередь финансовой. Зловред способен модифицировать содержимое страниц банковских сайтов, встраивая в них вредоносные скрипты с целью получить аутентификационную информацию (логины, пароли, коды безопасности). Также с целью сбора конфиденциальной информации Trojan-Spy.Win32.Zbot.qsjm может снимать скриншоты (и даже видео) с экрана, перехватывать ввод с клавиатуры и т.д. Кроме того, троянец примечателен тем, что для получения команд и файла конфигурации обращается не к заданному заранее командному центру, а использует P2P-протокол, чтобы получить нужную информацию с других зараженных машин.

Вот еще несколько примеров писем из обнаруженных нами рассылок с вредоносными вложениями:

Темы писем выполнены по одному и тому же шаблону, злоумышленники меняют лишь названия антивирусных решений. Рассылка писем происходит с взломанных почтовых ящиков реальных людей, чьи компьютеры, по-видимому, заражены вредоносной программой и стали частью ботнета.

В связи с этим стоит напомнить, что никакая уважающая себя антивирусная компания не будет рассылать патч для своего продукта или обновление антивирусных баз в ZIP-архиве по электронной почте. Более того, мы рекомендуем не открывать любой вложенный в письмо файл, если вы его не ждете и отправитель вам не знаком.