Atenţie la anunţurile de angajare capcană

Dată  fiind starea fragilă a economiei mondiale, infractorii cibernetici îşi deghizează acum mesajele rău-intenţionate în oferte legitime de angajare. Deşi Win32.Worm.Mabezat.J nu este unul dintre cele mai recente exemple de malware, BitDefender a identificat săptămâna trecută o creştere semnificativă de e-mailuri nesolicitate, care conţineau fişiere infectate cu acesta.

Mesajul nesolicitat este distribuit în mai multe versiuni de propuneri de angajare, precum Web designer vacancy, New work for you, Welcome to your new work, sau We are hiring you. Acesta mai conţine şi un ataşament aparent inofensiv, denumit winmail.dat (fişier care se presupune că ar conţine informaţii Exchange Server® RTF pentru mesajul în cauză, în situaţia în care clientul de mail al destinatarului nu poate afişa mesaje în format Rich Text (RTF).

Cu toate acestea, fişierul winmail.dat poate fi dezarhivat fie cu WinRar®, fie cu WinZip™. Această abordare practic asigură atacatorul că utilizatorul poate extrage fişierul infectat, dar împiedică filtrele antimalware existente pe serverele de mail să dezarhiveze şi să analizeze conţinutul arhivei. Dacă este deschisă, arhiva va extrage un document Word denumit Readme.doc, dar, la o privire mai atentă, se dovedeşte a fi un fişier executabil infectat cu Win32.Worm.Mabezat.J.

Odată accesat, presupusul fişier Readme îşi deschide propriul director (locul unde viermele s-a copiat pe sistem) folosind Windows® Explorer. Viermele scrie şi un fişier autorun.inf pe fiecare partiţie, care va încerca să execute automat un executabil nou-creat, denumit zPharaoh.exe (o instanţă diferită a viermelui).

Cea mai periculoasă trăsătură a lui Win32.Worm.Mabezat.J este abilitatea acestuia de a infecta fişiere executabile prin înlocuirea primilor 1768 de octeţi ai executabilului cu propriul corp criptat. Viermele îşi începe mereu campania de infectare prin compromiterea executabilului principal Windows Media Player, dar şi a unor fişiere binare din Outlook® Express™.

Familia Mabezat este extrem de periculoasă: variantele sale nu numai că pot infecta fişiere binare şi uneori chiar şi distruge sisteme de operare în întregime, dar pot să colecteze adrese de email dintr-o mulţime de formate de fişier (între care.XML, .PHP, .LOG, .CHM, .HLP, .CPP, .PAS, .XLS, .PPT, .PDF, .ASPX, .ASP, .HTML, .HTM, .RTF şi .TXT) descoperite pe sistemul respectiv. După compilarea unei liste cu adresele email, viermele începe să se retransmită automat în masă, prin intermediul propriului motor SMTP.

Pentru protejarea sistemului, BitDefender® recomandă descărcarea, instalarea şi actualizarea unei suite antimalware, care să conţină antivirus, antispam, soluţie antiphishing şi protecţie firewall, dar şi să fie precauţi dacă li se solicită să deschidă fişiere provenite din surse necunoscute.

Despre BitDefender®   
BitDefender este producătorul uneia dintre cele mai rapide şi eficiente linii de soluţii de securitate a datelor atestate pe plan internaţional. Încă de la începuturile sale, din 2001, BitDefender a creat un nou orizont de aşteptări şi a ridicat standardele în materie de protecţie împotriva pericolelor informatice, viteză de reacţie şi actualizare uşoară. În fiecare zi, BitDefender protejează milioane de utilizatori individuali şi companii din întreaga lume, oferindu-le posibilitatea unei experienţe digitale în deplină siguranţă. Soluţiile BitDefender sunt distribuite printr-o reţea globală de parteneri (distribuitori şi reselleri) în peste 100 de ţări din întreaga lume. În România, soluţiile BitDefender sunt disponibile prin partenerii de distribuţie: Agis Computer, Aline Distribution, Asesoft Distribution, RHS Company, SCOP Computers şi în lanţurile retail cu acoperire naţională: Altex, Auchan, Carrefour, Depozitul de Calculatoare, Domo, Media Galaxy, Metro şi Twister.               

Sursa: BitDefender

Etichete: