CSIS har i nat stoppet en sværm af spammails som foregiver at komme fra Adobe og som inkluderer en vedhæftet licens til flere populære og dyre Adobe produkter. Den vedhæftede zip-fil indeholder en .exe fil, som ved kørsel vil inficere maskinen med malware.
Den uønskede e-mail anvender forskelligt indhold i emnelinjen:
En kopi af den komplette spammail findes herunder:
Hvis den vedhæftede fil udpakkes og køres vil den kopiere sig til systemet som:
[%dokumenter%][%brugerprofil%]Start MenuProgramsStartupdxdiag.exe
Det betyder at koden via startup mappen indlæses efter en genstart af maskinen.
Koden injekter sig samtidig i svchost.exe processen og forbinder sig til en C&C server hvorfra den indruller sig i et BOTnet og henter supplerende malware. Det sker via en HTTP GET, som gengivet herunder (mellemrum indlagt af CSIS)
hxxp://falshop2011.ru/com1/task.php?bid=[%unikt BOTid%]&os=5-1-2600&uptime=0&rnd=228046 HTTP/1.1
Det pågældende domæne er spærret i CSIS Secure DNS, ligesom vi stopper de uønskede e-mails i vores mailfirewall services. Heimdal Pro og Corporate kunder er således også beskyttet mod datalækage.
Den skadelige kode opnår følgende antivirus detektion:
Antivirus Version Last Update Result
AhnLab-V3 2011.11.02.00 2011.11.02 -
AntiVir 7.11.16.253 2011.11.03 -
Antiy-AVL 2.0.3.7 2011.11.03 -
Avast 6.0.1289.0 2011.11.02 -
AVG 10.0.0.1190 2011.11.02 -
BitDefender 7.2 2011.11.03 -
ByteHero 1.0.0.1 2011.09.23 Trojan.Win32.PSW.ay
CAT-QuickHeal 11.00 2011.11.03 -
ClamAV 0.97.3.0 2011.11.03 -
Commtouch 5.3.2.6 2011.11.03 W32/Trojan3.CZZ
Comodo 10646 2011.11.03 -
DrWeb 5.0.2.03300 2011.11.03 -
Emsisoft 5.1.0.11 2011.11.03 -
eSafe 7.0.17.0 2011.11.02 -
eTrust-Vet 36.1.8653 2011.11.02 -
F-Prot 4.6.5.141 2011.11.03 W32/Trojan3.CZZ
F-Secure 9.0.16440.0 2011.11.03 -
Fortinet 4.3.370.0 2011.11.03 -
GData 22 2011.11.03 -
Ikarus T3.1.1.107.0 2011.11.03 Trojan-Downloader.Win32.Dofoil
Jiangmin 13.0.900 2011.11.02 -
K7AntiVirus 9.116.5379 2011.11.02 -
Kaspersky 9.0.0.837 2011.11.02 -
McAfee 5.400.0.1158 2011.11.03 -
McAfee-GW-Edition 2010.1D 2011.11.03 Heuristic.BehavesLike.Win32.Spyware.F
Microsoft 1.7801 2011.11.02 TrojanDownloader:Win32/Dofoil.D
NOD32 6596 2011.11.03 -
nProtect 2011-11-02.02 2011.11.02 -
Panda 10.0.3.5 2011.11.02 Suspicious file
PCTools 8.0.0.5 2011.11.03 -
Prevx 3.0 2011.11.03 -
Rising 23.82.02.02 2011.11.02 -
Sophos 4.70.0 2011.11.03 Troj/DwnLdr-JLW
SUPERAntiSpyware 4.40.0.1006 2011.11.03 -
Symantec 20111.2.0.82 2011.11.03 -
TheHacker 6.7.0.1.337 2011.11.03 -
TrendMicro 9.500.0.1008 2011.11.03 -
TrendMicro-HouseCall 9.500.0.1008 2011.11.03 -
VBA32 3.12.16.4 2011.11.02 -
VIPRE 10951 2011.11.03 -
ViRobot 2011.11.3.4752 2011.11.03 -
VirusBuster 14.1.42.0 2011.11.02 -
↧
CSIS Nyheder: Nyt spamrun lokker med licenskode fra Adobe
↧