05.03.2007
В интернете появились письма с вредоносной гиперссылкой, якобы предназначенной для отписки от спам-рассылки. При клике на данную ссылку на компьютер пользователя загружается троянская программа.
Как сообщает «Лаборатория Касперского», в интернете наблюдается массовая рассылка графических спамовых писем, в которых, кроме основного английского текста, призывающего срочно покупать акции некой сомнительной компании, содержится гиперссылка с текстом на русском языке «Отписать от рассылки можно здесь». На русскоязычную аудиторию нацелены методы социального инжиниринга: получатель письма с высокой степенью вероятности постарается отписаться от раздражающего спама и пройдет по указанному в сообщении адресу.
Щелкнувший по ссылке перенаправляется на сайт, содержащий вредоносный код. В результате на его компьютер загружается троянская программа Trojan-Downloader.JS.Small.dz, которая, в свою очередь, устанавливает программу Trojan-Spy.Win32.Goldun.ms, крадущую номера счетов и пароли платежной системы e-gold. Последняя программа интересна тем, что предназначена для кражи пользовательских паролей для одной определенной платежной системы.
Таким образом, данная спамовая рассылка ориентирована одновременно на две целевые аудитории: англоязычную, потенциально заинтересованную в покупке акций, и русскоязычную, которая при попытке отписаться от рекламной рассылки, заражает свои машины вредоносной программой-шпионом. Учитывая, что именно русскоязычные пользователи подвергаются наибольшей опасности при получении таких писем, эксперты «Лаборатории Касперского» предполагают, что именно они и являются основной целью спамеров.
Вредоносные программы Trojan-Downloader.JS.Small.dz и Trojan-Spy.Win32.Goldun.ms занесены в антивирусные базы ведущих производителей средств защиты. Кроме того, активность данных троянцев может быть заблокирована с помощью проактивной защиты. Тем не менее, пользователям рекомендуется быть внимательными и не открывать письма от неизвестных адресатов.
|