29 июня 2009 Никакой Комментарий 29 June 2009 No Comment

Киберпреступники еще раз использовали прохождение Майкла Джексона, ‘Короля Популярности,’ несколько дней назад как возможность пойти о с их злонамеренными действиями и напасть на невинных пользователей.Cybercriminals once again used the passing of Michael Jackson, the ‘King of Pop,’ a few days ago as an opportunity to go about with their malicious activities and attack innocent users.

Мы определили электронную почту (см. рисунок 1 ниже) о смерти Майкла Джексона, написанной на испанском языке, утверждающем быть от Си-Эн-Эн Мексикой.We spotted an email (see Figure 1 below) about Michael Jackson’s death written in Spanish claiming to be from CNN Mexico.

После более близкого анализа (см. рисунок 2 выше), мы нашли, что отправитель электронной почты не действителен – info@hi5.com, который является spammed отправителем. Электронная почта также содержала точную информацию о Майкле Джексоне, покупая себя вероятность, чтобы соблазнить пользователей в нажимание на ссылки, содержавшие в пределах сообщения.Upon closer analysis (see Figure 2 above), we found that the sender of the email isn’t valid – info@hi5.com which is a spammed sender. The email also contained accurate information about Michael Jackson, buying itself credibility in order to lure users into clicking the links contained within the message.

Упомянутая электронная почта также содержала выглядящую подозрительно связь с ‘исключительным видео Си-Эн-Эн’ о случае. Большинство других связей на spammed сообщении было недоступно и не могло показать правильный веб-сайт. Но одна связь — эль sitio en Интернет TMZ (переведенный английскому языку: ‘найденный в веб-сайте TMZ’) — который был связью с местом, где видео, предположительно, принято, но оно переадресовывает пользователя к другому злонамеренному месту — http://{ЗАБЛОКИРОВАЛ}.com/openbb/avatars/imagen/CNN/indexx.php. Угроза в упомянутой странице обнаружена Тенденцией, Микро как HTML_DLOADR.ARM.The said email also contained a suspicious-looking link to an ‘exclusive CNN video’ about the event. Most of the other links on the spammed message were inaccessible and could not display the correct website. But one link—el sitio en internet TMZ (translated to English: ‘found in the TMZ website’)—which was a link to the site where the video is supposedly hosted but it redirects the user to another malicious site—http://{BLOCKED}.com/openbb/avatars/imagen/CNN/indexx.php. The threat in the said page is detected by Trend Micro as HTML_DLOADR.ARM.

Этот сайт ничего не содержит кроме черного фона и окна сообщения, говоря пользователю, что версия Flash player, бегущая на его/ее системе, не может играть упомянутое видео. Окно сообщения содержит три кнопки (см. рисунок 3 выше), щелкая, любой из которых вызовет загрузку злонамеренного файла — flash-installer-windows.exe — который утверждает, что был правильной версией Flash player, которая позволит ему/ее смотреть исключительное видео. Упомянутый злонамеренный файл обнаружен как BKDR_IRCBOT.BW. BKDR_IRCBOT.BW соединяется с определенным сервером IRC и затем присоединяется к каналу IRC, где он ждет команд от отдаленного пользователя.This site does not contain anything but a black background and a message box telling the user that the Flash player version running on his/her system cannot play the said video. The message box contains three buttons (see Figure 3 above), clicking any of which will trigger the download of a malicious file—flash-installer-windows.exe—which claims to be the right Flash player version that will allow him/her to view the exclusive video. The said malicious file is detected as BKDR_IRCBOT.BW. BKDR_IRCBOT.BW connects to a certain IRC server and then joins an IRC channel where it waits for commands from a remote user.

Довольно известный то, что, даже если пользователь выбирает кнопку Cancel, которая должна позволить ему/ее уходить от загрузки файла, место продолжит выдвигать загрузку кодер-декодера, оставляя пользователей без выбора, но иметь дело со злонамеренным файлом, загруженным в их систему.Quite notable is that even if a user chooses the Cancel button, which should allow him/her to quit from downloading the file, the site will continue to push the download of the codec, leaving users with no choice but to deal with the malicious file downloaded into their system.

Сообщение спама и злонамеренный веб-сайт, используемый в этом нападении, уже заблокированы Тенденцией Микро Умная Сеть Защиты.The spam message and malicious website used in this attack are already blocked by the Trend Micro Smart Protection Network.

Почта от: TrendLabs | Блог Malware - Микро ТенденциейPost from: TrendLabs | Malware Blog - by Trend Micro

Майкл Джексон Видео Приводит к Загрузке MalwareMichael Jackson Video Leads to Malware Download