29 июня 2009 Никакой Комментарий29 June 2009 No Comment

Киберпреступники еще раз использовали прохождение Майкла Джексона, ‘Короля Популярности,’ несколько дней назад как возможность пойти о с их злонамеренными действиями и напасть на невинных пользователей.Cybercriminals once again used the passing of Michael Jackson, the ‘King of Pop,’ a few days ago as an opportunity to go about with their malicious activities and attack innocent users.

Мы определили электронную почту (см. иллюстрацию 1 ниже) о смерти Майкла Джексона, написанной на испанском языке, утверждающем быть от Си-Эн-Эн Мексикой.We spotted an email (see Figure 1 below) about Michael Jackson’s death written in Spanish claiming to be from CNN Mexico.

После более близкого анализа (см. иллюстрацию 2 выше), мы нашли, что отправитель электронной почты не действителен – info@hi5.com, который является spammed отправителем. Также содержавшая точная информация электронной почты о Майкле Джексоне, покупая себя вероятность, чтобы соблазнить пользователей в щелчок связями, содержавшими в пределах сообщения.Upon closer analysis (see Figure 2 above), we found that the sender of the email isn’t valid – info@hi5.com which is a spammed sender. The email also contained accurate information about Michael Jackson, buying itself credibility in order to lure users into clicking the links contained within the message.

Упомянутая электронная почта, также содержавшая выглядящая подозрительно связь с ‘исключительным видео Си-Эн-Эн’ о случае. Большинство других связей на spammed сообщении было недоступно и не могло показать правильный вебсайт. Но один эль связью sitio en Интернет TMZ (переведенный на английский язык: ‘найденный в вебсайте TMZ’) - который был связью с участком, где видео возможно принято, но оно переадресовывает пользователя к другому злонамеренному участку-http://{ЗАБЛОКИРОВАЛ}.com/openbb/avatars/imagen/CNN/indexx.php. Угроза в упомянутой странице обнаружена Тенденцией, Микро как HTML_DLOADR.ARM.The said email also contained a suspicious-looking link to an ‘exclusive CNN video’ about the event. Most of the other links on the spammed message were inaccessible and could not display the correct website. But one link—el sitio en internet TMZ (translated to English: ‘found in the TMZ website’)—which was a link to the site where the video is supposedly hosted but it redirects the user to another malicious site—http://{BLOCKED}.com/openbb/avatars/imagen/CNN/indexx.php. The threat in the said page is detected by Trend Micro as HTML_DLOADR.ARM.

Этот участок ничего не содержит кроме черного фона и окна сообщения, говоря пользователю, что версия игрока Вспышки, бегущая на его/ее системе, не может играть упомянутое видео. Окно сообщения содержит три кнопки (см. иллюстрацию 3 выше), щелкая, любой из которых вызовет загрузку злонамеренного file-flash-installer-windows.exe-which, утверждает, что был правильной версией игрока Вспышки, которая позволит ему/ее рассматривать исключительное видео. Упомянутый злонамеренный файл обнаружен как BKDR_IRCBOT.BW. BKDR_IRCBOT.BW соединяется с определенным сервером IRC и затем присоединяется к каналу IRC, где он ждет команд от отдаленного пользователя.This site does not contain anything but a black background and a message box telling the user that the Flash player version running on his/her system cannot play the said video. The message box contains three buttons (see Figure 3 above), clicking any of which will trigger the download of a malicious file—flash-installer-windows.exe—which claims to be the right Flash player version that will allow him/her to view the exclusive video. The said malicious file is detected as BKDR_IRCBOT.BW. BKDR_IRCBOT.BW connects to a certain IRC server and then joins an IRC channel where it waits for commands from a remote user.

Весьма известный то, что, даже если пользователь выбирает кнопку Cancel, которая должна позволить ему/ее уходить от загрузки файла, участок продолжит выдвигать загрузку кодер-декодера, оставляя пользователей без выбора, но иметь дело со злонамеренным файлом, загруженным в их систему.Quite notable is that even if a user chooses the Cancel button, which should allow him/her to quit from downloading the file, the site will continue to push the download of the codec, leaving users with no choice but to deal with the malicious file downloaded into their system.

Сообщение спама и злонамеренный вебсайт, используемый в этом нападении, уже заблокированы Тенденцией Микро Умная Сеть Защиты.The spam message and malicious website used in this attack are already blocked by the Trend Micro Smart Protection Network.

Почта от: TrendLabs | Блог Malware - Микро ТенденциейPost from: TrendLabs | Malware Blog - by Trend Micro

Майкл Джексон Видео Приводит к Загрузке MalwareMichael Jackson Video Leads to Malware Download