Na trop tego incydentu wpadł przypadkiem jeden z czytelników serwisu Niebezpiecznik.pl Udostępniona wiadomość e-mail jest charakterystyczna dla kampanii spamowych i niczym szczególnym się nie różni poza tym, że jeszcze dzisiaj w południe, szkodliwe oprogramowanie było całkowicie niewykrywalne (FUD) dla wszystkich programów antywirusowych – według przeprowadzonej analizy na VirusTotal. Obecnie malware wykrywane jest przez 12 silników antywirusowych.
Wiadomość, jaka została wysłana do swoich ofiar była jak zwykle prymitywna. Ale czego się spodziewać po tego typu atakach? Hiperłącze kieruje ofiarę do spreparowanej, lecz łudząco podobnej (poza adresem URL) strony należącej do Poczty Polskiej, gdzie można śledzić przesyłkę. Prawdziwa strona to: http://emonitoring.poczta-polska.pl/, fałszywa: hxxp://poczta-s.net/track/index.php
Ofiara po przepisaniu kodu captcha proszona jest o pobranie załącznika, który jest dwa razy spakowany. Drugie archiwum zawiera szkodliwe oprogramowanie pdf Informacja o działki.exe Trojan napisany w języku C++ wstrzykuje swój złośliwy kod w proces svchost.exe i może bez przeszkód pobierać dodatkowe szkodliwe oprogramowanie (proces svchost.exe jest zaufany) oraz szpiegować użytkownika wysyłając te informacje na zdefiniowany serwer.
Jeśli przypadkiem stałeś/aś się ofiarą tego spamu uruchomiłeś/aś szkodliwy plik sprawdź, jakie aplikacje łączą się z siecią oraz dokładnie przeskanuj komputer różnymi skanerami. I na przyszłość warto pamiętać o podstawowych zasadach bezpieczeństwa korzystania z poczty elektronicznej.
