Niebezpieczny mailing z adresu firmy McAfee

Analitycy z Kaspersky Lab przechwycili mailing wiadomości zawierających trojana Trojan-Dropper.MSWord.Lafool.v. Mailing ten posiada jedną bardzo niepokojącą cechę: wiadomości wyglądają na wysłane z adresu [email protected], zatem ich rzekomym nadawcą jest firma McAfee, producent oprogramowania antywirusowego.
Eksperci z Kaspersky Lab są przekonani, że firma McAfee nie jest w żaden sposób zaangażowana w wysyłkę tych wiadomości a adres [email protected] został sfałszowany i użyty w celu skłonienia odbiorców do otwarcia zainfekowanych wiadomości.

Lafool.v ma postać dokumentu programu MS Word o nazwie „McAfee Inc. Reports.doc”. Plik zawiera rzekomo raport dotyczący rozprzestrzeniania się szkodliwych programów w Internecie. W rzeczywistości dokument zawiera makro napisane przy użyciu języka programowania Visual Basic for Applications. Lafool.v wypakowuje ze swojego kodu i uruchamia najnowszą modyfikację znanego trojana kradnącego hasła – LdPinch. LdPinch kradnie hasła związane z wieloma usługami i aplikacjami, łącznie z komunikatorami AOL i ICQ oraz inne poufne dane użytkowników zainfekowanych komputerów.

Oprogramowanie Kaspersky Anti-Virus wykrywa tę nową wersję jako Trojan-PSW.Win32.LdPinch.bbg. Moduł ochrony proaktywnej wykorzystywany w aplikacjach Kaspersky Anti-Virus 6.0 oraz Kaspersky Internet Security 6.0 całkowicie blokuje działania trojana, łącznie z:
– uruchamianiem podejrzanych makropoleceń
– wykradaniem poufnych danych użytkowników
– uruchamianiem przeglądarki internetowej z parametrami wiersza poleceń
– wysyłaniem zgromadzonych danych poprzez przeglądarkę internetową bez wiedzy i zgody użytkownika

Aktywność trojana jest zatrzymywana, gdy użytkownik uaktywnił blokowanie jednej z powyższych operacji (LdPinch nie uruchomi się lub nie będzie mógł wykonać żadnego ze szkodliwych działań). Sygnatury trojana Lafool.v zostały opublikowane przez Kaspersky Lab 31 października 2006. Użytkownicy, którzy nie korzystają z funkcji automatycznej aktualizacji powinni uaktualnić sygnatury zagrożeń. Opis trojana dostępny jest w Encyklopedii Wirusów: http://viruslist.pl/encyclopedia.html?cat=11&uid=4662&o=2.

Eksperci z Kaspersky Lab są przekonani, że firma McAfee nie jest w żaden sposób zaangażowana w wysyłkę tych wiadomości a adres [email protected] został sfałszowany i użyty w celu skłonienia odbiorców do otwarcia zainfekowanych wiadomości.
Lafool.v ma postać dokumentu programu MS Word o nazwie „McAfee Inc. Reports.doc”. Plik zawiera rzekomo raport dotyczący rozprzestrzeniania się szkodliwych programów w Internecie. W rzeczywistości dokument zawiera makro napisane przy użyciu języka programowania Visual Basic for Applications. Lafool.v wypakowuje ze swojego kodu i uruchamia najnowszą modyfikację znanego trojana kradnącego hasła – LdPinch. LdPinch kradnie hasła związane z wieloma usługami i aplikacjami, łącznie z komunikatorami AOL i ICQ oraz inne poufne dane użytkowników zainfekowanych komputerów.

Oprogramowanie Kaspersky Anti-Virus wykrywa tę nową wersję jako Trojan-PSW.Win32.LdPinch.bbg. Moduł ochrony proaktywnej wykorzystywany w aplikacjach Kaspersky Anti-Virus 6.0 oraz Kaspersky Internet Security 6.0 całkowicie blokuje działania trojana, łącznie z:
– uruchamianiem podejrzanych makropoleceń
– wykradaniem poufnych danych użytkowników
– uruchamianiem przeglądarki internetowej z parametrami wiersza poleceń
– wysyłaniem zgromadzonych danych poprzez przeglądarkę internetową bez wiedzy i zgody użytkownika

Aktywność trojana jest zatrzymywana, gdy użytkownik uaktywnił blokowanie jednej z powyższych operacji (LdPinch nie uruchomi się lub nie będzie mógł wykonać żadnego ze szkodliwych działań). Sygnatury trojana Lafool.v zostały opublikowane przez Kaspersky Lab 31 października 2006. Użytkownicy, którzy nie korzystają z funkcji automatycznej aktualizacji powinni jak najszybciej uaktualnić sygnatury zagrożeń.
Opis trojana dostępny jest w Encyklopedii Wirusów: http://viruslist.pl/encyclopedia.html?cat=11&uid=4662&o=2.

www.kaspersky.pl