Cyberprzestępcy pod pretekstem aktualizacji systemu Windows XP wprowadzili do wielu komputerów niebezpiecznego robaka znanego wcześniej jako Trojan.Generic.171369.

Wiadomość, która dotarła do ofiar hakerów została sfałszowana na wzór dyrektyw pochodzących od ekspertów komputerowych i producentów oprogramowania. Dodatkowo cyberprzestępcy zastosowali graficzny trik, dzięki któremu użytkownicy nie byli świadomi zagrożenia i wpadli w pułapkę.

Podstęp jest jednocześnie prosty i skuteczny. Tomasz Zamarlik G Data Software „Cyberprzestępcy obiecując w temacie wiadomości aktualizacje dla Windows XP SP3 „Critical Update for Windows XP SP3” zachęcają ofiarę do otwarcia załączonego folderu. Folder okazuje się plikiem EXE, który został zamaskowany poprzez zmianę ikony pliku wykonywalnego na ikonę folderu. Instalacja pliku robaka w systemie niesie za sobą niepożądane działania. Zarażony komputer staje się nosicielem wirusów. Ofiarom, oczywistym wydawał się fakt, że aktualizacje i poprawki pochodzą od oryginalnego producenta. Temat wiadomości „Zabezpieczymy komputer i zapewnimy wszystkie aktualizacje” jeszcze bardziej uwiarygodnił wiadomość, a ikona folderu nie wzbudzała podejrzeń. Teraz spamerzy dzięki dużej skali infekcji mogą czerpać wysokie korzyści np. świadcząc usługi rozsyłania spamu.”

Łukasz Nowatkowski G Data Software „Ten szkodnik jest nam juz dobrze znany, jednakże maskowanie plików pod ikoną folderu jest interesujące. Ta pułapka jest całkowicie pięknym podstępem, dzięki któremu użytkownicy są wprowadzani w :błąd. Niestety każdy, kto żyje w pośpiechu i szybko chce zobaczyć zawartość folderu otrzymanego w załączniku lub nie wie, że plik może mieć różne ikony szybko może stać się ofiarą hakera.”

Kamuflaż pliku .exe pod ikoną folderu

(przy domyślnych ustawieniach systemu Windows)

nie jest jasne, że jest to plik wykonywalny

 

 
Robak pojawił się w załącznikach wiadomości e-mail, jako plik EXE o nazwie „mswinxpa_sp3upd.exe”. Plik wykonywalny ukryty jest pod ikoną folderu. Podczas uruchomienia niebezpiecznego załącznika skaner G Data wykrywa robaka jako Trojan.Generic.171369. Robak łączy się z zewnętrznego serwera SMTP (port 25), a następnie rozsyła wiadomości z fałszywym załącznikiem. Dodatkowo kilkukrotnie kopiuje się na dysku twardym ofiary i maskuje się pod znanymi nazwami plików. Ponad to Złośliwy program dodaje się do autostartu, a także blokuje możliwość uruchomienia menedżera zadań i edytora rejestru. Skutkuje to tym, że użytkownik nie może śledzić procesów uruchomionych w komputerze i modyfikować wpisów w rejestrze.

Cyberprzestępcy wśród użytkowników komputerów PC wielokrotnie starali się rozesłać fałszywe pliki ukryte pod linkami lub jako załączniki wiadomości e-mail. Podstęp hakerów, dzięki któremu odbiorcy wiadomości mają małe szanse na wykrycie fałszywych pików, polega na oszukaniu niedoświadczonego użytkownika poprzez zmianę ikony.

Eksperci z laboratorium G Data wszystkim użytkownikom zalecają usunąć załącznik z powyższych e-maili i aktualizację przeprowadzać bezpośrednio z systemu Windows poprzez narzędzia dostępne w panelu „Centrum zabezpieczeń”.  W trakcie odbierania poczty przychodzącej podczas wątpliwości użytkownicy zawsze powinni usuwać wiadomości rzekomo zawierające aktualizacje oraz załączniki od nieznanych nadawców. Microsoft nie wysyła aktualizacji pocztą e-mail.

[źródło: informacja prasowa G DATA]