شماره: IRCNE200910466
شركت امنيتي MX Labs گزارش داد يك نسخه جديد از تروجان Bredolab به يك ايميل جعلي با عنوان «Facebook Password Reset Confirmation» ضميمه شده است.
به گفته اين شركت امنيتي، برخي كاربران ايميلهايي از طرف «The Facebook Team» دريافت كرده اند. آدرس فرستنده اين ايميل بصورت «service@facebook.com» و يا «support@facebook.com» نمايش داده ميشود. اما در حقيقت آدرس و فرستنده اين ايميل جعلي هستند.
به گزارش MX Labs، اين ايميل يك پيوست به نام «Facebook_Password_4cf91.zip» داشته و شامل فايلي به نام «Facebook_Password_4cf91.exe» است كه بنا بر ادعاي ايميل مذكور، اين فايل حاوي كلمه عبور جديد كاربر Facebook است. اين شركت امنيتي اعلام كرد كه بخش آخر نام اين فايل (در مثال بالا بخش 4cf91) براي هر كاربر بصورت تصادفي و تركيبي از حروف و ارقام انتخاب ميشود.
زماني كه كاربري اين فايل را دانلود ميكند، اين فايل شروع به خرابكاري بر روي سيستم وي مينمايد. به گفته MX Labs، تروجان Bredolab فايلهايي مانند ابزارهاي ضد جاسوسي قلابي را از اينترنت اجرا ميكند. اين تروجان براي رد شدن از فايروال، كد خود را به پروسه هاي معتبر svchost.exe و explorer.exe تزريق مينمايد. همچنين در صورتيكه برنامه ديگري شروع به تحقيق درباره فعاليتهاي اين تروجان كند، Bredolab فعاليت خود را متوقف كرده و به اين ترتيب خود را از چشم آن برنامه دور ميكند. بنا بر گزارش MX Labs، زماني كه اين تروجان به سيستم كاربري راه پيدا ميكند، «%AppData%wiaservg.log» و «%Programs%Startupisqsys32.exe» را در فايلهاي سيستم ايجاد مينمايد. همچنين دو پردازه جديد به نامهاي «isqsys32.exe» و «svchost.exe» نيز ايجاد ميشوند.
گروه امنيتي M86 نيز اعلام كرد كه اين تروجان، يك Bot به نام Pushdo را نيز دانلود ميكند كه بلافاصله شروع به ارسال تعداد بيشتري از ايميلهاي مربوط به تغيير كلمه عبور Facebook مينمايد.
سايت Facebook نيز بلافاصله اعلام كرد كه اين ايميلها از طرف اين شركت نيستند. يك سخنگوي Facebook اعلام كرد كه اين تروجان از طريق ايميل در حال گسترش است و نه از طريق سايت Facebook. وي همچنين اظهار داشت كه از طريق صفحه امنيت Facebook در حال آموزش كاربران براي شناسايي اين ايميل جعلي هستند. اين شركت همچنين تاكيد كرد كه هرگز براي كاربران خود كلمه عبور جديدي به شكل پيوست يك ايميل ارسال نميكند.
كاربراني كه اين فايل را دانلود كرده اند، بايد با استفاده از نرم افزار ضد بدافزار آن را پاك نمايند.
- 3