Botnet obiecuje... szczepionki na świńską grypę

W Sieci wciąż trwa zmasowana akcja spamowa, której autorzy wykorzystują ogromne zainteresowanie tematem tzw. świńskiej grypy. Przestępcy wysyłają spam, podszywający się pod wiadomości z amerykańskiego Centrum Zwalczania i Zapobiegania Chorobom (CDC) - za jego pośrednictwem próbują zbawiać internautów na strony instalujące w systemie Windows złośliwe oprogramowanie.

Takie wiadomości przygotowane są bardzo starannie i faktycznie na pierwszy rzut oka wyglądają jak oficjalny komunikat rządowej agencji. Z treści wynika, że rząd USA zamierza zaoferować wszystkim zainteresowanym szczepionki chroniące przed wirusem H1N1 - aby je zdobyć, należy wejść na stronę CDC, zarejestrować się i zamówić szczepionkę.

Po kilknięciu na zawarty w wiadomości odnośnik użytkownik przekierowywany jest na stronę przypominającą oficjalną witrynę Centrum Zwalczania i Zapobiegania Chorobom. Tam wymagana jest rejestracja, po której wyświetlany jest odnośnik do "archiwum użytkownika" - pliku, który użytkownik powinien pobrać i zainstalować na swoim komputerze.

Oczywiście, nie jest to żadne archiwum, tylko plik instalacyjny niebezpiecznego konia trojańskiego o nazwie Zbot (niektóre firmy używają też nazwy Zeus). Głównym zadaniem szkodnika jest przekształcenie zainfekowanego komputera w element botnetu, który później wykorzystywany jest m.in. do wysyłania spamu czy przeprowadzania ataków DDoS (Distributed Denial of Service).

Zdaniem przedstawicieli firm zajmujących się walką ze spamem, takie wiadomości są obecnie wysyłane na gigantyczną skalę - w pewnym momencie amerykańska firma AppRiver rejestrowała nawet 18 tys. e-maili wysłanych w ciągu minuty (w ciągu godziny to daje 1,1 mln wiadomości). Później aktywność spamerów nieco spadła (do ok. 9,5 tys. wiadomości na minutę) - ale to i tak najbardziej uciążliwa w tej chwili kampania spamowa.

"Teraz się trochę uspokoiło - w ciągu ostatnich 24 godzin zablokowaliśmy ok. 13 mln wiadomości. Ale problem wciąż jest poważny" - mówi Troy Gill, specjalista ds. bezpieczeństwa z AppRiver

Eksperci ostrzegają, że wykorzystywany przez spamerów Zbot to zupełnie nowa wersja - przez pierwsze kilkanaście godzin jego aktywności poprawnie wykrywały i usuwały ją zaledwie 4 z 41 najpopularniejszych aplikacji antywirusowych. Wczoraj sytuacja się nieco poprawiła - połowa antywirusów już była w stanie poradzić sobie z najnowszym wariantem.

Co ciekawe, przestępcy zdecydowali się na zastosowanie dodatkowej metody ataku - na wypadek, gdyby któryś z użytkowników zwabionych na fałszywą stronę CDC był ostrożny i nie zechciał pobrać podsuniętego pliku. Na witrynie osadzono również exploita, automatycznie atakującego użytkowników przez wykryte niedawno luki w oprogramowaniu Adobe Reader oraz Adobe Flash

Warto dodać, że Zbot jest aktualnie zdecydowanie najbardziej aktywnym i niebezpiecznym botnetem - i ta sytuacja utrzymuje się już od kilku miesięcy.

Na koniec odnotujmy, że z ustaleń firmy McAfee wynika, iż fałszywa strona CDC jest hostowana na serwerach zlokalizowanych m.in. w Argentynie, Chile, Kolumbii, Brazylii, Indiach oraz Malezji. Wiadomości zachęcające do jej odwiedzenia zwykle opatrzone są jednym z poniższych tytułów: "State Vaccination H1N1 Program", "Governmental registration program on the H1N1 vaccination" lub "Create your personal Vaccination Profile".