Зайцев Олег
20.06.2005, 09:19
Сегодня я наблюдал новую методику "впаривания" троянской программы LdPinch. Сегодня мне по почте прислали следующее письмо с адреса [email protected] (адрес подделан):
На Ваше имя пришла открытка!
Вы можете увидеть ее:
хттп://postcardz.hotmail.ru/h95uiv5sd49rt/getid=uf56ws40hnc5/postcard.scr (http://postcardz.hotmail.ru/h95uiv5sd49rt/getid=uf56ws40hnc5/postcard.scr)
Открытку можно просмотреть в течение 90 дней.
Эта услуга абсолютно бесплатна! Приятного просмотра!
__________________________________________________ __________
Открытки@Mail.Ru. Обрадуй друзей!
http://cards.mail.ru/
Почтовые антивири такое письмо естественно пропускают, т.к. вложений, скриптов и прочего там - простое текстовое письмо. Текстовка типовая для открыток сервиса mail.ru. Если внимательно посмотреть на адрес "открытки", то легко заметить, что он ссылается на файл postcard.scr. Если скачать и посмотреть данный файлик, то обнаружится, что это Trojan-PSW.Win32.LdPinch.pq, сжатый FSG. Собственно, дальше смешнее - в подписи указан адрес http://cards.mail.ru/ (это правильный адрес службы открыток), а вот в ссылке - postcardz.hotmail.ru - это просто сайт с именем postcardz на халявном хостинке hotmail.ru.
Выводы:
1. Начинающий юзер может запросто щелкнуть такую ссылку и заполучить трояна, мало кто из пользователей будет внимательно анализировать адрес в ссылке - в службам открыток все привыкли ...
2. Админам сетей стоит внести postcardz.hotmail.ru в черные списки для блокирования данной заразы ... плюс не повредит проанализировать логи прокси
-------
Подобная методика естественно не является новой - я уже много раз видел подобное, но с такой "качественной" маскировкой из области социальной инженерии еще ничего не попадалось. Адрес "кулхацкера" - [email protected], отправка письма идет через сервис mail.ru ... Интересной особенностью этой разновидности трояна является то, что он имитирует
открытие "открытки", отображая на экране какую-то картинку
На Ваше имя пришла открытка!
Вы можете увидеть ее:
хттп://postcardz.hotmail.ru/h95uiv5sd49rt/getid=uf56ws40hnc5/postcard.scr (http://postcardz.hotmail.ru/h95uiv5sd49rt/getid=uf56ws40hnc5/postcard.scr)
Открытку можно просмотреть в течение 90 дней.
Эта услуга абсолютно бесплатна! Приятного просмотра!
__________________________________________________ __________
Открытки@Mail.Ru. Обрадуй друзей!
http://cards.mail.ru/
Почтовые антивири такое письмо естественно пропускают, т.к. вложений, скриптов и прочего там - простое текстовое письмо. Текстовка типовая для открыток сервиса mail.ru. Если внимательно посмотреть на адрес "открытки", то легко заметить, что он ссылается на файл postcard.scr. Если скачать и посмотреть данный файлик, то обнаружится, что это Trojan-PSW.Win32.LdPinch.pq, сжатый FSG. Собственно, дальше смешнее - в подписи указан адрес http://cards.mail.ru/ (это правильный адрес службы открыток), а вот в ссылке - postcardz.hotmail.ru - это просто сайт с именем postcardz на халявном хостинке hotmail.ru.
Выводы:
1. Начинающий юзер может запросто щелкнуть такую ссылку и заполучить трояна, мало кто из пользователей будет внимательно анализировать адрес в ссылке - в службам открыток все привыкли ...
2. Админам сетей стоит внести postcardz.hotmail.ru в черные списки для блокирования данной заразы ... плюс не повредит проанализировать логи прокси
-------
Подобная методика естественно не является новой - я уже много раз видел подобное, но с такой "качественной" маскировкой из области социальной инженерии еще ничего не попадалось. Адрес "кулхацкера" - [email protected], отправка письма идет через сервис mail.ru ... Интересной особенностью этой разновидности трояна является то, что он имитирует
открытие "открытки", отображая на экране какую-то картинку