BitDefender informuje o vlne spywaru

Rumunská bezpečnostná spoločnosť BitDefender informovala o zaznamenaní novej vlny nevyžiadaných správ, ktoré zneužívajú značku FedEx, čo je doručovateľská firma.

Emailová správa hovorí o zlyhaní doručenia zásielky zaslanej pred mesiacom a žiada užívateľa o vytlačenie faktúry priloženej v prílohe a vyzdvihnutie zásielky. V prílohe sa však skrýva trójsky kôň Trojan.Spy.ZBot, resp. aj iné, napr. Trojan.Spy.Wsnpoem.HA. Tieto infiltrácie boli vytvorené za účelom krádeže udájov elektronického bankovníctva. Inštalujú sa do adresára Windows\system32\, kde vytvoria podadresár wsnpoem skrytý rootkit technikami, do ktorého sú uložené zakódované súbory ntos.exe, audio.dll a video.dll (DLL-ky sú použité ako konfigurátori systému a nositelia inštrukcií). Samozrejme nechýba zapísanie súborov do databázy Registry, vďaka čomu sú spúšťané automaticky pri štarte systému. Na získanie bankových údajov sa "injectujú" (načítajú) do procesov winlogon.exe a iexplorer.exe (súčasti systému). To im umožní stiahnuť zo siete ďalšie súbory, uchovávať zozbierané informácie a monitorovať činnosť užívateľa. "Naviac sú tieto infiltrácie schopné stiahnuť dodatočné súčasti a umožniť útočníkovi prístup do systému", dodal Sorin Dudea, šéf oddelenia Antimalware Research.