Bitdefender avertizeaza asupra anunturilor capcana si a locurilor de munca capcana
Data fiind starea fragila a economiei mondiale, infractorii cibernetici îsi deghizeaza acum mesajele rau-intentionate în oferte legitime de angajare.
Desi Win32.Worm.Mabezat.J nu este unul dintre cele mai recente exemple de malware, BitDefender a identificat saptamâna trecuta o crestere semnificativa de e-mailuri nesolicitate, care contineau fisiere infectate cu acesta.
Mesajul nesolicitat este distribuit în mai multe versiuni de propuneri de angajare, precum Web designer vacancy, New work for you, Welcome to your new work, sau We are hiring you. Acesta mai contine si un atasament aparent inofensiv, denumit winmail.dat (fisier care se presupune ca ar contine informatii Exchange Server® RTF pentru mesajul în cauza, în situatia în care clientul de mail al destinatarului nu poate afisa mesaje în format Rich Text (RTF).
Cu toate acestea, fisierul winmail.dat poate fi dezarhivat fie cu WinRar®, fie cu WinZip™. Aceasta abordare practic asigura atacatorul ca utilizatorul poate extrage fisierul infectat, dar împiedica filtrele antimalware existente pe serverele de mail sa dezarhiveze si sa analizeze continutul arhivei. Daca este deschisa, arhiva va extrage un document Word denumit Readme.doc, dar, la o privire mai atenta, se dovedeste a fi un
Cu toate acestea, fisierul winmail.dat poate fi dezarhivat fie cu WinRar®, fie cu WinZip™. Aceasta abordare practic asigura atacatorul ca utilizatorul poate extrage fisierul infectat, dar împiedica filtrele antimalware existente pe serverele de mail sa dezarhiveze si sa analizeze continutul arhivei. Daca este deschisa, arhiva va extrage un document Word denumit Readme.doc, dar, la o privire mai atenta, se dovedeste a fi un
Odata accesat, presupusul fisier Readme îsi deschide propriul director (locul unde viermele s-a copiat pe sistem) folosind Windows® Explorer. Viermele scrie si un fisier autorun.inf pe fiecare partitie, care va încerca sa execute automat un executabil nou-creat, denumit zPharaoh.exe (o instanta diferita a viermelui).
Cea mai periculoasa trasatura a lui Win32.Worm.Mabezat.J este abilitatea acestuia de a infecta fisiere executabile prin înlocuirea primilor 1768 de octeti ai executabilului cu propriul corp criptat. Viermele îsi începe mereu campania de infectare prin compromiterea executabilului principal Windows Media Player, dar si a unor fisiere binare din Outlook® Express™.
Familia Mabezat este extrem de periculoasa: variantele sale nu numai ca pot infecta fisiere binare si uneori chiar si distruge sisteme de operare în întregime, dar pot sa colecteze adrese de email dintr-o multime de formate de fisier (între care.XML, .PHP, .LOG, .CHM, .HLP, .CPP, .PAS, .XLS, .PPT, .PDF, .ASPX, .ASP, .HTML, .HTM, .RTF si .TXT) descoperite pe sistemul respectiv. Dupa compilarea unei liste cu adresele email, viermele începe sa trimita automat mesaje!
Sursa: Smartnews.ro
