"Polskość" wykrytego trojana uwidacznia się nie tylko w e-mailu wykorzystywanym do infekcji, ale również w generowanym przez złośliwy program ruchu sieciowym. O wykryciu konia trojańskiego stworzonego z myślą o polskich internautach poinformowała firma InfoProf.
Jak podaje InfoProf, na skrzynkach polskich internautów pojawiły się e-maile o kuszących tematach w języku polskim np.: "Odezwij się do mnie 2008 kl-52" lub "Jak mi podasz swój num to sie z toba umowie co ty na to 2008 reference_829".
W treści tych wiadomości znajduje się obrazek udający zatrzymane video, podpis (np. Hello, Kocham Cię, Kochanie) oraz komunikat informujący o konieczności pobrania dodatkowych kodeków w celu odtworzenia filmu.
Kliknięcie na link lub fałszywe wideo powoduje przeniesienie na stronę, na której oczekuje video_codec.exe, rozpoznawany przez program NOD32 jako szkodnik Agent.NEQ.
Jeśli użytkownik korzysta z Firefoksa, zostanie zaalarmowany o próbie oszustwa. Użytkownicy Linuksa ujrzą natomiast komunikat o niedostępności serwera.
Po zainstalowaniu się na komputerze szkodnik chowa swój plik instalacyjny i rejestruje się w systemie jako nowy sterownik (Microsoft ASPI Manager). W systemie pojawiają się pliki:
Temp_check32.bat
Tempcmd2.exe
Windowsdb32.txt
Windowss32.txt
Systemaspimgr.exe
Windowsws386.ini
Potem trojan odpytuje serwer DNS TPSA - 194.204.152.34 o kolejne domeny, które ma na liście pobranej wcześniej z serwera 58.22.101.118. Lista domen, o które pyta szkodnik zawiera praktycznie same polskie domeny (m.in. poczta.fm, gadu-gadu.pl, tvp.pl).
Jeśli trojan otrzyma poprawne rozwiązanie adresu DNS dla którejś z nich, stara się połączyć do niej na porcie SMTP. Co więcej szkodnik stara się zgadywać subdomeny pocztowe i jeśli połączenie się powiedzie, wysyła e-maile do użytkowników tej domeny.
Jak podaje InfoProf, w chwili obecnej szkodnika oprócz NOD32 rozpoznają programy antywirusowe BitDefender, Microsoft oraz Sophos. Generalnie jednak warto pamiętać, że list od tajemniczej nieznajomej raczej nie będzie zawierał sympatycznego filmu.
Więcej informacji na blogu InfoProf: Agent.NEQ - nasi tu są?
Aktualności
|
Porady
|
Gościnnie
|
Katalog
Bukmacherzy
|
Sprawdź auto
|
Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy
Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.
*