На днях мы обнаружили, что через сервисы обмена мгновенными сообщениями была проведена спам-рассылка сообщений с вредоносными ссылками. Как выяснилось, рассылка производилась IM-червем Zeroll. Бот генерировал разные сообщения в зависимости от языка получателя. Вот некоторые из них:

“Wie findest du das Foto?”
“seen this?? 😀 %s”
“This is the funniest photo ever!”
“bekijk deze foto :D”
“uita-te la aceasta fotografie :D”

Как и во многих подобных случаях, злоумышленники использовали методы социальной инженерии, предлагая получателям посмотреть картинки с заманчивыми названиями. В конец сообщения добавлялась ссылка вида www.facebook.com/l.php?u=********.org/Jenny.jpg. Кроме ссылки на файл Jenny.jpg рассылалась и аналогичная ссылка на Sexy.jpg.

Страница, на которую ведет ссылка “http://www.facebook.com/l.php?u=”, сама по себе зловредной не является — она содержит предупреждение от Facebook о том, что пользователь покидает сайт.

Если после “l.php?u=” добавить ссылку на произвольный сайт, то по ссылке также откроется окно с предупреждением Facebook. Однако после того, как пользователь нажмет кнопку “продолжить”, он по подставленной ссылке будет перенаправлен на соответствующую страницу. Этим и воспользовались злоумышленники, дополнив легитимную ссылку ссылкой на вредоносный ресурс.

Когда браузер переходит на страницу ********.org/Jenny.jpg, ему выдается файл “PIC1274214241-JPG-www.facebook.com.exe”, который может быть запущен на исполнение пользователем. Далее, по тексту, упоминая jenny.jpg и sexy.jpg, будет подразумеваться именно исполняемый файл, упомянутый в предыдущем предложении.

После анализа “jenny.jpg” и “sexy.jpg”, выяснилось, что это обычные даунлоадеры, защищенные упаковщиком, написанном на Visual Basic.

Задача даунлоадеров стандартна для этого вида программ: скачать на зараженный компьютер еще одну вредоносную программу — файл srce.exe. А чтобы пользователь ничего не заподозрил, даунлоадеры после установки на компьютере открывают обещанную в разосланном спам-сообщении «интересную» картинку. Картинка подгружается из интернета — ссылка на нее видна на скриншоте.

Что же представляет из себя srce.exe? Это дроппер + загрузчик, внешняя оболочка которого, опять же, написана с использованием Visual Basic. Скачивает он червя IM-Worm.Win32.XorBot.a, который использует Yahoo Messenger для рассылки сообщений пользователям.

Таким образом, в ходе данной спам-рассылки в IM-сообщениях используется не прямая ссылка на вредоносный объект, а ссылка, указывающая на страницу Facebook. Можно сказать, что в данном случае Facebook используется как сервис, аналогичный bit.ly: он позволяет преобразовывать ссылки и переходить на них через собственный домен.

В настоящий момент спам-атака Zeroll продолжается. В сообщениях рассылаются ссылки на другие файлы, но с не менее «заманчивыми» именами — “Girls.jpg” и “Marisella.jpg”. И хотя многие знают, что нельзя бездумно переходить по ссылкам, даже если они присланы людьми из контакт-листа, не лишним будет об этом еще раз напомнить. Злоумышленники изобретательны — и спам от Zeroll очередной раз это подтверждает.

Оставить мнение