Le 29 juin 2009 Aucun Commentaire29 June 2009 No Comment

Les cybercriminels ont utilisé encore une fois le passage de Michael Jackson, le 'Roi de Bruit,’ il y a quelques jours comme une occasion d'aller d'avec leurs activités méchantes et attaquer des utilisateurs innocents.Cybercriminals once again used the passing of Michael Jackson, the ‘King of Pop,’ a few days ago as an opportunity to go about with their malicious activities and attack innocent users.

Nous avons aperçu un courrier électronique (voir le chiffre 1 ci-dessous) de la mort de Michael Jackson écrite en espagnol prétendant être de CNN le Mexique.We spotted an email (see Figure 1 below) about Michael Jackson’s death written in Spanish claiming to be from CNN Mexico.

Sur l'analyse plus proche (voir le chiffre 2 au-dessus), nous avons constaté que l'expéditeur du courrier électronique n'est pas valide – info@hi5.com qui est un expéditeur spammed. Les renseignements exacts aussi contenus du courrier électronique sur Michael Jackson, en s'achetant la crédibilité pour attirer les utilisateurs dans le cliquetis des liens contenus dans le message.Upon closer analysis (see Figure 2 above), we found that the sender of the email isn’t valid – info@hi5.com which is a spammed sender. The email also contained accurate information about Michael Jackson, buying itself credibility in order to lure users into clicking the links contained within the message.

Dit courrier électronique aussi contenu un lien regardant méfiamment vers une 'vidéo de CNN exclusive’ de l'événement. La plupart des autres liens sur le message spammed étaient inaccessibles et ne pouvaient pas afficher le site Internet correct. Mais un lien-el sitio demi-cadratin TMZ Internet (traduit à l'anglais : ‘trouvé dans le site Internet TMZ’) - qui était un lien vers le site où la vidéo est censément accueillie, mais elle réexpédie l'utilisateur à un autre site—http: méchant//a {BLOQUÉ}.com/openbb/avatars/imagen/CNN/indexx.php. La menace dans dite page est découverte par la Tendance Petite comme HTML_DLOADR.ARM.The said email also contained a suspicious-looking link to an ‘exclusive CNN video’ about the event. Most of the other links on the spammed message were inaccessible and could not display the correct website. But one link—el sitio en internet TMZ (translated to English: ‘found in the TMZ website’)—which was a link to the site where the video is supposedly hosted but it redirects the user to another malicious site—http://{BLOCKED}.com/openbb/avatars/imagen/CNN/indexx.php. The threat in the said page is detected by Trend Micro as HTML_DLOADR.ARM.

Ce site ne contient rien sauf un fond noir et une boîte de message en disant l'utilisateur que la version de joueur d'Éclat courant sur son/son système ne peut pas jouer dite vidéo. La boîte de message contient trois boutons (voir le chiffre 3 au-dessus), en faisant un déclic dont n'importe lequel déclenchera le téléchargement de file-flash-installer-windows.exe-which méchant prétend être la bonne version de joueur d'Éclat qui permettra à lui/son de voir la vidéo exclusive. Dit dossier méchant est découvert comme BKDR_IRCBOT.BW. BKDR_IRCBOT.BW communique à un certain serveur IRC et rejoint ensuite un canal IRC où il attend des ordres d'un utilisateur lointain.This site does not contain anything but a black background and a message box telling the user that the Flash player version running on his/her system cannot play the said video. The message box contains three buttons (see Figure 3 above), clicking any of which will trigger the download of a malicious file—flash-installer-windows.exe—which claims to be the right Flash player version that will allow him/her to view the exclusive video. The said malicious file is detected as BKDR_IRCBOT.BW. BKDR_IRCBOT.BW connects to a certain IRC server and then joins an IRC channel where it waits for commands from a remote user.

Tout à fait remarquable est que même si un utilisateur choisit le bouton Cancel, qui devrait permettre à lui/son d'arrêter de télécharger le dossier, le site continuera à pousser le téléchargement du codec, en quittant des utilisateurs sans choix, mais s'occuper du dossier méchant téléchargé dans leur système.Quite notable is that even if a user chooses the Cancel button, which should allow him/her to quit from downloading the file, the site will continue to push the download of the codec, leaving users with no choice but to deal with the malicious file downloaded into their system.

Le message spam et le site Internet méchant utilisé dans cette attaque sont déjà bloqués par la Tendance le Petit Réseau de Protection Intelligent.The spam message and malicious website used in this attack are already blocked by the Trend Micro Smart Protection Network.

Poste de : TrendLabs | le Blog de Malware - par la Tendance PetitePost from: TrendLabs | Malware Blog - by Trend Micro

Michael Jackson Video Mène au Téléchargement de MalwareMichael Jackson Video Leads to Malware Download