Atenţie la anunţurile de angajare capcană

NEWS

Bitdefender și Directoratul Național de Securitate Cibernetică (DNSC) își unesc forțele pentru susținerea Ucrainei în spațiul cibernetic ›

Asistență

Cum te putem ajuta?

Asistență produse pentru acasă Asistență produse pentru companii
Contul meu

Contul dvs.

Autentifică-te în contul Bitdefender și administreaza securitatea în funcție de nevoile tale

Bitdefender Central GravityZone CLOUD Control Center

15March 2010

Dată fiind starea fragilă a economiei mondiale, infractorii cibernetici îşi deghizează acum mesajele rău-intenţionate în oferte legitime de angajare.

Deşi Win32.Worm.Mabezat.J nu este unul dintre cele mai recente exemple de malware, BitDefender a identificat săptămâna trecută o creştere semnificativă de e-mailuri nesolicitate, care conţineau fişiere infectate cu acesta.

Mesajul nesolicitat este distribuit în mai multe versiuni de propuneri de angajare, precum Web designer vacancy, New work for you, Welcome to your new work, sau We are hiring you. Acesta mai conţine şi un ataşament aparent inofensiv, denumit winmail.dat (fişier care se presupune că ar conţine informaţii Exchange Server® RTF pentru mesajul în cauză, în situaţia în care clientul de mail al destinatarului nu poate afişa mesaje în format Rich Text (RTF).

Cu toate acestea, fişierul winmail.dat poate fi dezarhivat fie cu WinRar®, fie cu WinZip™. Această abordare practic asigură atacatorul că utilizatorul poate extrage fişierul infectat, dar împiedică filtrele antimalware existente pe serverele de mail să dezarhiveze şi să analizeze conţinutul arhivei. Dacă este deschisă, arhiva va extrage un document Word denumit Readme.doc, dar, la o privire mai atentă, se dovedeşte a fi un fişier executabil infectat cu Win32.Worm.Mabezat.J.

Odată accesat, presupusul fişier Readme îşi deschide propriul director (locul unde viermele s-a copiat pe sistem) folosind Windows® Explorer. Viermele scrie şi un fişier autorun.inf pe fiecare partiţie, care va încerca să execute automat un executabil nou-creat, denumit zPharaoh.exe (o instanţă diferită a viermelui).

Cea mai periculoasă trăsătură a lui Win32.Worm.Mabezat.J este abilitatea acestuia de a infecta fişiere executabile prin înlocuirea primilor 1768 de octeţi ai executabilului cu propriul corp criptat. Viermele îşi începe mereu campania de infectare prin compromiterea executabilului principal Windows Media Player, dar şi a unor fişiere binare din Outlook® Express™.

Familia Mabezat este extrem de periculoasă: variantele sale nu numai că pot infecta fişiere binare şi uneori chiar şi distruge sisteme de operare în întregime, dar pot să colecteze adrese de email dintr-o mulţime de formate de fişier (între care.XML, .PHP, .LOG, .CHM, .HLP, .CPP, .PAS, .XLS, .PPT, .PDF, .ASPX, .ASP, .HTML, .HTM, .RTF şi .TXT) descoperite pe sistemul respectiv. După compilarea unei liste cu adresele email, viermele începe să se retransmită automat în masă, prin intermediul propriului motor SMTP.

Pentru protejarea sistemului, BitDefender® recomandă descărcarea, instalarea şi actualizarea unei suite antimalware, care să conţină antivirus, antispam, soluţie antiphishing şi protecţie firewall, dar şi să fie precauţi dacă li se solicită să deschidă fişiere provenite din surse necunoscute.

Ultimele știri

Business Insights

HOTforSecurity

Bitdefender Lab

IoT Insights