( Simplu, dar greu de aflat! )

vineri, 27 noiembrie 2009

Ai grijă cu cine vorbeşti pe messenger, ar putea fi un virus!

De ce să nu recunoaștem - stăm pe Messenger în fiecare zi. Suntem conectați de acasă, de la birou, chiar și din cafenele sau de pe telefonul mobil. Schimbăm mesaje cu prietenii - mesaje care uneori conțin și link-uri. Și presupunem în tot acest timp că în spatele ID-ului de Messenger se află un prieten, o persoană pe care o cunoaștem, iar toate link-urile și mesajele vin chiar de la ea.

Dar dacă prietenul are calculatorul infectat? Sa facem cunoștință cu Trojan.Win32.Buzus.cmwr:

Mesajul pare a fi suspicios din diverse motive: în primul rând, atât link-ul cât și restul textului sunt scrise pe aceeași linie, apoi, limba folosită este spaniola, nici decum româna. Diverse indicii i-ar putea face pe mulți dintre noi sa ignore un astfel de mesaj, și totuși vedem persoane infectate.

Dar sa facem cunoștință cu o amenințare mai interesantă - Trojan-IM.Win32.Agent.ae - care arată cam așa:

Deja avem de-a face cu o adevărată strategie de inginerie socială:

  • Mesajele vin pe linii diferite, cu timp între ele, imitând perfect o persoană reală
  • Buzz-ul, acest element de nelipsit (din păcate) în conversațiile pe Messenger
  • Greșelile de ortografie - cireașa de pe tort - c-așa e la noi, mai greu cu i-urile :)
  • Link-ul duce către un blog aparent onest, nicidecum către un fișier executabil

Odată deschis blog-ul menționat, strategia merge pe bine cunoscuta rețetă Koobface: landing page-uri cu playere video false ce au nevoie de un „plug-in" sau de un „codec" pentru a fi văzute.

Având in vedere rata rapidă de răspândire a acestui troian (statisticile fisier.ro pentru ultima versiune a executabilului aratau peste 10.000 de download-uri în mai puţin de 24 de ore), am luat un set de masuri pentru a-i proteja atât pe utilizatorii noștri, cât și pe ceilalți utilizatori de internet:

  • Am adăugat detecție pentru programul malware (Trojan-IM.Win32.Agent.ae)
  • URL-urile blog-urilor ce distribuție acest atac au fost și ele adăugate in blacklist
  • Am notificat blogspot.com pentru a șterge blog-urile ce răspândesc atacul
  • Am notificat fisier.ro pentru a șterge programele malware
  • Monitorizam continuu punctele de distribuție ale acestui atac pentru a intercepta eventuale modificări

În loc de încheiere, un hint pentru situații similare pe viitor: pentru orice fel de fișiere suspecte primite pe Yahoo! Messenger, Skype, MSN, alte rețele, sau venite de oriunde din internet, va recomand să le trimiteți arhivate cu parola "infected" la newvirus@kaspersky.ro pentru analiză, înainte să le rulați.

6 Comentari:

Cristian Lisandru spunea...

Noroc că nu deschid messengerul decât foarte, foarte rar...

ReFu BLoG spunea...

Asta este un motv în plus, să te facă să fii suspicios la orice link care îți vine pe messenger.

strumfita cu esarfa spunea...

si eu am patit-o, tot asa m-a abordat o cunostinta pe mess fix cu acelasi blog. norocu` a fost ca stiam ca ea nu`i bloggerita, am sunat-o si mi-a zis ca ea n-a scris nimic de genu` ca s-ar putea sa aiba un virus. naspa rau cu astea

ReFu BLoG spunea...

Să vezi acuma câte victime o să facă, pentru că sunt destule persoane care nu-și dau seama, iară o să fim stresați de viruși pe messenger !

Luciferush spunea...

Pai cum zice si o vorba romaneasca " Prostia ... se plateste " , pai in ziua de astazi 70 % din cei care folosesc messenger-ul mai mult de 2 sunt copii care merita VIRUSATIz

ReFu BLoG spunea...

Face și virusi o faptă bună, enervează copii disperați de mess :D