2 listopada 2006

Niebezpieczny mailing wysyłany przy użyciu adresu firmy McAfee

Analitycy z Kaspersky Lab przechwycili mailing wiadomości zawierających trojana Trojan-Dropper.MSWord.Lafool.v. Mailing ten posiada jedną bardzo niepokojącą cechę: wiadomości wyglądają na wysłane z adresu mcafee@europe.com, zatem ich rzekomym nadawcą jest firma McAfee, producent oprogramowania antywirusowego. Eksperci z Kaspersky Lab są przekonani, że firma McAfee nie jest w żaden sposób zaangażowana w wysyłkę tych wiadomości a adres mcafee@europe.com został sfałszowany i użyty w celu skłonienia odbiorców do otwarcia zainfekowanych wiadomości.

Lafool.v ma postać dokumentu programu MS Word o nazwie "McAfee Inc. Reports.doc". Plik zawiera rzekomo raport dotyczący rozprzestrzeniania się szkodliwych programów w Internecie. W rzeczywistości dokument zawiera makro napisane przy użyciu języka programowania Visual Basic for Applications. Lafool.v wypakowuje ze swojego kodu i uruchamia najnowszą modyfikację znanego trojana kradnącego hasła - LdPinch. LdPinch kradnie hasła związane z wieloma usługami i aplikacjami, łącznie z komunikatorami AOL i ICQ oraz inne poufne dane użytkowników zainfekowanych komputerów. Oprogramowanie Kaspersky Anti-Virus wykrywa tę nową wersję jako Trojan-PSW.Win32.LdPinch.bbg.

Moduł ochrony proaktywnej wykorzystywany w aplikacjach Kaspersky Anti-Virus 6.0 oraz Kaspersky Internet Security 6.0 całkowicie blokuje działania trojana, łącznie z:

  • uruchamianiem podejrzanych makropoleceń
  • wykradaniem poufnych danych użytkowników
  • uruchamianiem przeglądarki internetowej z parametrami wiersza poleceń
  • wysyłaniem zgromadzonych danych poprzez przeglądarkę internetową bez wiedzy i zgody użytkownika

Aktywność trojana jest zatrzymywana, gdy użytkownik uaktywnił blokowanie jednej z powyższych operacji (LdPinch nie uruchomi się lub nie będzie mógł wykonać żadnego ze szkodliwych działań).

Sygnatury trojana Lafool.v zostały opublikowane przez Kaspersky Lab 31 października 2006. Użytkownicy, którzy nie korzystają z funkcji automatycznej aktualizacji powinni jak najszybciej uaktualnić sygnatury zagrożeń.

Opis trojana dostępny jest w Encyklopedii Wirusów: http://viruslist.pl/encyclopedia.html?cat=11&uid=4662&o=2.