CA VARUJE PŘED „VALENTÝNSKOU“ SPAMOVOU KAMPANÍ

27. 2. 2007

Sdílet

Společnost CA dnes vydala varování o rozsáhlé e-mailové spamové kampani, která se tváří jako elektronická valentinka a pokouší se nalákat uživatele na závadný server. Pokud uživatel klepne na odkaz pro přijetí „valentinky“, je přesměrován na server, který zobrazí zprávu o nutnosti stažení aplikace flashplayer. Tato aplikace (pod názvem flashplayer.cab) je ve skutečnosti balíčkem obsahujícím trojského koně Win32/Hanlo.I.

Společnost CA dnes vydala varování o rozsáhlé e-mailové spamové kampani, která se tváří jako elektronická valentinka a pokouší se nalákat uživatele na závadný server. Pokud uživatel klepne na odkaz pro přijetí „valentinky“, je přesměrován na server, který zobrazí zprávu o nutnosti stažení aplikace flashplayer. Tato aplikace (pod názvem flashplayer.cab) je ve skutečnosti balíčkem obsahujícím trojského koně Win32/Hanlo.I.
Soubor flashplayer.cab obsahuje soubor install.exe (tento soubor produktem CA Antivirus rozpoznán jako virus Win32/MicroJoiner.I). Po spuštění tento soubor vytvoří a spustí hlavní spustitelný soubor trojského koně Win32/Hanlo.I. Virus Hanlo.I poté vytvoří ovladač, který skryje přítomnost tohoto trojského koně na infikovaném počítači.
Trojský kůň se při následných spuštěních systému spustí na základě registrace jako služba „AVSearch service“. Infikovaným uživatelům se však tato služba nezobrazí, protože komponenta ovladače zařízení trojského koně je použita ke skrytí hlavního spustitelného souboru.
S cílem dále maskovat instalaci otevře trojský kůň i webovou stránku, která vypadá jako elektronická valentinka. Jde o falešnou stránku určenou pro simulaci skutečného serveru s „původními valentinkami“. V době, kdy píšeme toto sdělení, vydali vlastníci skutečného serveru http://www.original-cards.com/ varování týkající se tohoto trojského koně pro všechny uživatele, kteří byli přesměrováni z této falešné stránky.
Další informace najdete na stránce expertního týmu společnosti CA na adrese: http://www3.ca.com/securityadvisor/virusinfo/virus.aspx?id=51298

Autor článku