IT & C

#mesaj #angajre #malware #win32.worm.mabezat

Hackerii isi incearca norocul cu anunturi de angajare capcana

Data fiind starea fragila a economiei mondiale, infractorii cibernetici isi deghizeaza acum mesajele rau-intentionate in oferte legitime de angajare.

Desi Win32.Worm.Mabezat .J nu este unul dintre cele mai recente exemple de malware, in ultima perioada a fost identificat o crestere semnificativa de e-mailuri nesolicitate, care contineau fisiere infectate cu acesta.

Mesaj capcana

Mesajul nesolicitat este distribuit in mai multe versiuni de propuneri de angajare, precum "Web designer vacancy, New work for you, Welcome to your new work", sau "We are hiring you". Acesta mai contine si un atasament aparent inofensiv, denumit winmail.dat (fisier care se presupune ca ar contine informatii Exchange Server RTF pentru mesajul in cauza, in situatia in care clientul de mail al destinatarului nu poate afisa mesaje in format Rich Text(RTF).

Cu toate acestea, fisierul winmail.dat poate fi dezarhivat fie cu WinRar, fie cu WinZip. Aceasta abordare practic asigura atacatorul ca utilizatorul poate extrage fisierul infectat , dar impiedica filtrele antimalware existente pe serverele de mail sa dezarhiveze si sa analizeze continutul arhivei. Daca este deschisa, arhiva va extrage un document Word denumit Readme.doc, dar, la o privire mai atenta, se dovedeste a fi un fisier executabil infectat cu Win32. Worm .Mabezat.J.

Cum functioneaza

Odata accesat, presupusul fisier Readme isi deschide propriul director (locul unde viermele s-a copiat pe sistem) folosind Windows Explorer. Viermele scrie si un fisier autorun.inf pe fiecare partitie, care va incerca sa execute automat un executabil nou-creat, denumit zPharaoh.exe (o instanta diferita a viermelui).
 
Cea mai periculoasa trasatura a lui Win32.Worm.Mabezat.J este abilitatea acestuia de a infecta fisiere executabile prin inlocuirea primilor 1768 de octeti ai executabilului cu propriul corp criptat. Viermele isi incepe mereu campania de infectare prin compromiterea executabilului principal Windows Media Player, dar si a unor fisiere binare din Outlook Express.

Urmareste Acasa.ro pe Facebook! Comenteaza si vezi in fluxul tau de noutati de pe Facebook cele mai noi si interesante articole de pe Acasa.ro.

  •  
  •  

Articol scris de

Vezi toate articolele