VirusHunter предупреждает всех пользователей ПК о распространении злоумышленниками аферных вредоносных писем, содержащих весьма любопытный текст и Интернет-ссылку, якобы на сайт, где выложены интригующие фотки...


1. Фальшивые письма.

Примерно 24 июля 2007 года, неизвестные злоумышленники произвели массовую рассылку аферных писем по территориям Украины и России. Письма содержали весьма заманчивый текст на русском языке и ссылку на Интернет-страницу, где, якобы, можно было просмотреть интригующие фотки двух подруг после какой-то вечеринки.
Анализ полученных образцов вредоносных писем показал, что все они распространялись при помощи одной из многочисленных специализированных программ для рассылки спама. Рассылка была произведена через различные почтовые хосты, расположенные в Америке и России. Темы писем, имена мнимых отправителей и текст написаны на русском языке.
Данные в полях почтового послания могут быть следующими:

В поле "От": произвольные имя (и фамилия) на русском языке, взятые в кавычки, например: "Майя", "Юля", "Полина Кострова";

Адрес "отправителя": либо случайно сгенерированный адрес, либо реально существующий адрес кого-либо из пользователей;

В поле "Кому": реально существующий адрес кого-либо из жертв спам-рассылки;

В поле "Тема": один из многочисленных вариантов на русском языке, например: "Позвони", "Фотки с вечеринки", "Встретимся";

Текст: всегда один и тот же (см. ниже пример письма).

Пример письма (ссылка закрашена по соображениям безопасности):


Получив такое письмо, да еще на русском языке, даже опытный пользователь с большой вероятностью забудет про безопасность и, решив, что чье-то конфиденциальное письмо по ошибке попало к нему в ящик, подключится к сети Интернет и вызовет на загрузку указанную в письме ссылку, чтобы увидеть шокирующие фотки с вечеринки.


2. Фоток нет, но есть вирусы.

Ничего не подозревающего пользователя, запустившего на загрузку указанную ссылку, ждало разочарование: вэб-браузер Internet Explorer сообщал, что страница не найдена, или же (в зависимости от версии и некоторых др. системных условий) выдавал сообщение об ошибке и аварийно завершал свою работу. При этом под Oper'ой загружалась главная страница порно-сайта


Но в реальности пользователь "ловил" себе в компьютер вирус. Происходило это следующим образом: по мере попытки вэб-броузера загрузить указанную в письме ссылку, в один из временных подкаталогов, хранящих некоторые компоненты загружаемых из Интернета страниц и пр. данных, записывался следующий файл:

для Windows 9X/ME:

%windir%\Temporary Internet Files\Content.IE5\...\frs-msk[1].htm

для Windows 2K/XP:

Documents and Settings\%user%\Local Settings\Temporary Internet Files\Content.IE5\...\frs-msk[1].htm

, где %windir% - каталог с установленной ОС Windows; %user% - имя текущего пользователя.
Данный файл представляет собой вполне легальную URL-ссылку на вышеуказанный порно-сайт http://sexforum.com, к которой "доклеен" вредоносный скрипт на языке Java Script (JS). Параллельно с загрузкой порно-сайта, вредоносный скрипт скрытно от глаз пользователя загружал в компьютер троянскую программу, расположенную по ссылке (часть ссылки заменена символом "%" по соображениям безопасности)

http://203.%.78.88/exp/

По данной ссылке загружался файл exp[1].htm, который записывался в тот же временный каталог, что и файл frs-msk[1].htm. При этом вэб-браузер, через который работает пользователь, автоматически запускал файл exp[1].htm на обработку как компонент загружаемой страницы.


3. Троянская программа.

Злоумышленники несколько раз варьировали содержимое файла frs-msk[1].htm, не меняя при этом его вредоносный функционал и ссылку на троянскую программу. Такие меры предпринимались с их стороны с целью усложнения обнаружения и детектирования антивирусными компаниями вредоносного кода. По этой причине размер файла frs-msk[1].htm может быть либо 220 байт, либо 316 байт.
Содержимое файла exp[1].htm также заменялось злоумышленниками несколько раз, в результате чего вредоносный функционал последнего может носить различный характер. Всего было выявлено 3 варианта данного "зловреда" (1-й и 2-й идентичны и отличаются друг от друга лишь незначительными вариациями кода), размер которых составляет примерно 20 кб для 1-го и 2-го вариантов, и, порядка 11 кб, для 3-го варианта. Все 3 варианта написаны на JS и зашифрованы двумя независимыми друг от друга крипт-циклами. По мере запуска каждого из вариантов, сначала получает управление первый цикл расшифровки (обрабатывается системой), который расшифровывает и загружает на выполнение подпрограмму второго цикла расшифровки для остальной части кода троянца.
Судя по всему, троянец работоспособен только под Internet Explorer версии 6.0 или ниже, при этом 6-я версия должна быть "незалатанная" от уязвимостей. Под 7-й версией запуск троянца приводит лишь к аварийному закрытию текущего окна браузера, включая и все открытые в нем вкладки (прочие окна остаются полностью работоспособными), без активации вредоносного функционала. Работоспособность троянца под др. вэб-браузерами не изучалась, но однозначно можно сказать, что, например, под Oper'ой версии 8 он не работает.
В зависимости от варианта, троянец может открывать в вэб-браузере окна с различными рекламными и порнографическими сайтами, либо скрытно от пользователя загружать в компьютер и запускать на выполнение др. вредоносные программы.


4. Детектирование и удаление троянца из машины.

Вредоносные письма были отосланы в Антивирусную Лабораторию Касперского.
На момент разработки данного описания вредоносные файлы frs-msk[1].htm и exp[1].htm детектируются антивирусами под следующими идентификационными названиями:

Антивирус Kaspersky AntiVirus:
файл frs-msk[1].htm (размер 220 байт): Exploit.HTML.Iframe.FileDownload (включен в антивирусную базу 26.07.2007)
файл frs-msk[1].htm (размер 316 байт): проигнорирован
файл exp[1].htm (размер 11 кб): Trojan-Downloader.HTML.Agent.ae (включен в антивирусную базу 26.07.2007)
файл exp[1].htm (размер 20 кб): Trojan-Clicker.JS.Agent.h (включен в антивирусную базу 27.07.2007)

Антивирус DrWeb:
файл frs-msk[1].htm (размер 220 байт): не обнаруживает
файл frs-msk[1].htm (размер 316 байт): не обнаруживает
файл exp[1].htm (размер 11 кб): VBS.PackFor
файл exp[1].htm (размер 20 кб): VBS.PackFor

Антивирус BitDefender Professional:
файл frs-msk[1].htm (размер 220 байт): Trojan.Script.119721 (включен в антивирусную базу 30.09.2009)
файл frs-msk[1].htm (размер 316 байт): не обнаруживает
файл exp[1].htm (размер 11 кб): Exploit.AdodbStream.J (включен в антивирусную базу 01.10.2007)
файл exp[1].htm (размер 20 кб): Exploit.AdodbStream.J (включен в антивирусную базу 01.10.2007)

Для удаления троянца из системы рекомендую просканировать свои компьютеры установленными в них антивирусными программами, соглашаясь на удаление всех файлов, обнаруженных как "вирусы" под вышеуказанными номенклатурными названиями. При сканировании рекомендуется использовать самые свежие антивирусные базы, поскольку варианты троянца (в случае срабатывания) могли загрузить в компьютер др. вредоносное ПО.

Несмотря на то, что к моменту разработки данного описания вредоносные компоненты были убраны злоумышленниками с пути загрузки указанной в письме URL-ссылки, пользователям рекомендуется соблюдать бдительность и в дальнейшем не попадаться на уловки мошенников, какими бы заманчивыми не были вещи, предлагаемые в текстах аферных писем.


Исследование вредоносного кода и разработка описания: Бройде Герман (aka VirusHunter)
Дата создания: 09.08.2007
Дата внесения последних изменений: 30.09.2009
Автор описания: Бройде Герман (aka VirusHunter)


Rambler's Top100

0.00172185897827