Trojan informuje o bombie w okolicy

Internetowi przestępcy po raz kolejny wykazali się nieprzeciętną kreatywnością - informuje brytyjska firma Sophos. Specjaliści ostrzegają przed e-mailami, informującymi, że w okolicy odbiorcy wiadomości doszło do zamachu terrorystycznego.

Metoda działania przestępców jest dość pomysłowa - wysyłają oni do internautów e-maile, mające jakoby zawierać informacje o wybuchu bomby. Oczywiście, w samej wiadomości nie ma żadnych konkretnych informacji - aby je poznać, należy wejść na odpowiednią stronę WWW. Strona ta została przygotowana na wzór oficjalnego serwisu agencji prasowej Reuters - możemy tam przeczytać, że w mieście odbiorcy doszło do zamachu bombowego, w wyniku którego zginęło 12 osób, zaś ok. 40 zostało rannych. Z tekstu wynika też, że może to być tzw. brudna bomba. Artykuł jest dość lakoniczny - z opisu wynika, że więcej informacji znaleźć można w osadzonym na stronie materiale wideo. Przy próbie jego obejrzenia wyświetlany jest komunikat o konieczności zainstalowania kodeka - oczywiście, zamiast niego w systemie pojawia się złośliwe oprogramowanie.

Pomysłowość przestępców polega na tym, że przed wysłaniem wiadomości sprawdzają, jaki jest adres IP odbiorcy - dzięki temu są w stanie z dużą dozą prawdopodobieństwa określić, w jakim mieście znajduje się ta osoba. Informację tę wykorzystują do odpowiedniego opisania e-maila - zwykle zawiera on w tytule oraz treści nazwę miasta, w którym najprawdopodobniej mieszka (lub aktualnie przebywa) odbiorca. Najczęściej spotykany tytuł to "Why did it happen in London?" (London może być zastąpiony przez dowolną inną nazwę).

Analizy przeprowadzone przez specjalistów z firmy Sophos wykazały, że podczas ataku w systemie instalowany jest trojan o nazwie Waledac (wersja nazywana WaledPak-E). "Szkodnik" specjalizuje się w wykradniu loginów i haseł, a także innych poufnych danych (wszystkie informacje wysyłane są na adres e-mail "operatora" trojana).

Specjaliści zauważyli, że przestępcy skupili się na atakowania mieszkańców największych metropolii - do e-maile wstawiane są m.in. Londyn, Amsterdam, Vancouver czy Sydney (nie zauważono wiadomości, które informowałyby o zamachach w mniejszych miastach). Warto też dodać, że istnieje co najmniej kilka wariacji podstawowej opowieści o ataku terrorystycznym (różnią się one m.in. podawaną liczbą zabitych i rannych, podejrzanymi itp.)

"Szczerze mówiąc, jestem zdziwiony, że przestępcy dopiero teraz wpadli na pomysł wykorzystania usługi lokalizowania adresów IP do przeprowadzania ataków - ta metoda była dostępna od lat, a przecież może ona wyraźnie zwiększyć skuteczność ataków. Na szczęście autorzy owych alarmujących e-maili okazali się niezbyt sprawnymi "pisarzami" - informacje są kiepsko napisane, więc mam nadzieje, że wielu odbiorcom od razu wydadzą się one podejrzane. Z drugiej strony, zawarte w nich wieści są na tyle niepokojące, że wiele osób może bez zastanowienia kliknąć na "wideo" i zainstalować wirusa podszywającego się pod kodek" - mówi Graham Cluley, konsultant z Sophos.

Jeśli ktoś przypadkowo zainstalował owo złośliwe oprogramowanie, powinien zaktualizować program antywirusowy i przeprowadzić kompleksowe skanowanie systemu. Gdy aplikacja AV wykryje kopie trojana Waledac, należy je skasować.


Zobacz również