Websense: MSN Messenger utilizado como ISCA em Spam novicio

Fonte: vu

A rede Websense Security Labs ThreatSeeker descobriu uma nova isca de spam nocivo que utiliza a ameaça de um vírus para incentivar os usuários a baixarem um Trojan malicioso.

A mensagem explica que ao baixar a aplicação através do link no email, o usuário poderá proteger-se contra um vírus que distribui mensagens de spam para seus contatos. O email oferece uma atualização para Live Messenger Plus - que é na realidade um Trojan (identificação md5: 5F1D2521F6949F8B71B9FF93C17A8BE2). A detecção por antivírus é baixa.

As URLs fornecidas no email redirecionam os usuários para um software de download com nome dsc.scr. Para distrair o usuário, uma caixa de diálogo é mostrada explicando que ele será redirecionado para msn.com.br. Uma janela de navegador abre-se apontando para este site. O programa de download primeiro contacta hxxp://*snip*ario.com/games_06.jpg, e depois hxxp://*snip*ario.com/games_04.jpg, acrescentando dois arquivos ao diretório raiz do disco C:

Uma tarefa agendada é criada, e modificações são feitas no arquivo autoexec.bat para desabilitar o GBPlugin e outras ferramentas criadas por bancos brasileiros para proteger contra keyloggers (gravadores de teclado) e outros programas nocivos. Detalhes sobre outras aplicações maliciosas que afetam esse software de segurança podem ser encontradas em nosso blog G-Buster Browser Defence. O malware então prossegue, para realizar atividades de roubo de informação.