Trend Micro ostrzega: miłość jest wszędzie

Trend Micro ostrzega: miłość jest wszędzie

Trend Micro ostrzega: miłość jest wszędzie - oszustwa związane z
Walentynkami, których lepiej uniknąć
Serca i robaki
„I give my heart to you” (Moje serce należy do Ciebie), „Wanna Kiss You” (Chcę Cię pocałować) i „You
are the ONE” (Jesteś tym JEDYNYM/tą JEDYNĄ) ― te najnowsze tematy ostatnio wykrywanego spamu
mają sprawić, aby odbiorca wyobraził sobie, ile ciepła i miłych treści dana wiadomość zawiera w środku.
Ciekawość i chęć sprawdzenia, kto aż tak nas kocha, jest naturalna, ale badacze z firmy Trend Micro
ostrzegają, aby nie otwierać takich wiadomości. Jeśli to zrobimy, możemy paść ofiarą bardzo zaraźliwego
małego robaka pod nazwą „Waledac”.
Tym, co ten robak naprawdę kocha, jest
masowe
rozprzestrzenianie
się
za
pośrednictwem spamu. Podobnie jak wirus
Storm, robak Waledac lubi pojawiać się w
okresach przedświątecznych ― tego typu
spam jest rozsyłany z wielotygodniowym
wyprzedzeniem. Zbliżają się Walentynki,
tak więc tego rodzaju romantyczne
wiadomości e-mail zalewają już skrzynki
odbiorcze
użytkowników.
Każda
wiadomość
typu
spam
zawiera
prowokacyjny komunikat, taki jak
„Somebody loves you” (Ktoś Cię kocha)
lub „My heart just for you” (Moje serce
należy właśnie do Ciebie). Gdy
użytkownicy klikną zamieszczone w
łącze
―
oczywiście
wiadomości
szkodliwe ― są przekierowywani do
Wczesne życzenia walentynkowe
ślicznymi
czerwonymi
serwisu
ze
serduszkami. Jeśli użytkownik kliknie tę
stronę, wyświetlane jest okno zachęcające do pobrania wykrytego przez firmę Trend Micro szkodliwego
pliku pod nazwą WORM_WALEDAC.AR. Podobnie jak inne warianty robaka Waledac, robak ten narusza
bezpieczeństwo zainfekowanych systemów poprzez otwarcie losowych portów, które będą czekać na
polecenia wydane zdalnie przez osobę trzecią, prawdopodobnie przez operatora sieci botnet.
Burzliwa miłość — atak wirusa Storm
Eksperci przypuszczają, że robak Waledac należy w rzeczywistości do rodziny wirusów Storm
tworzących botnet Storm, która nękała użytkowników w 2007 i 2008 r. Szkodliwe oprogramowanie z
rodziny Waledac zawiera procedury i ma cechy charakterystyczne przypominające wirusy Storm,
zwłaszcza z uwagi na atakowanie użytkowników oczekujących na jakieś święto, np. na Walentynki.
Wirus Storm jest dobrze znany z tego, że w jego rozpowszechnianiu stosowana jest wiedza
socjotechniczna, a w celu wciągnięcia użytkowników w pułapkę wykorzystywane są tematy świąteczne.
Oprócz podobieństw socjotechnicznych robak Waledac wykorzystuje metody ataku podobne do technik
stosowanych przez wirusa Storm, takie jak sieci fast-flux i mechanizm przełączania serwera DNS, które
pomagają szkodliwym serwisom uniknąć wykrycia. Robak Waledac używa również kilka różnych
serwerów nazw na domenę ― to kolejna sztuczka wirusa Storm. Wykorzystuje także typowe nazwy
plików stosowane przez wirusa Storm, takie jak ecard.exe i postcard.exe, a w niektórych przypadkach,
podobnie jak wirus Storm, może instalować fałszywe oprogramowanie do wykrywania i usuwania
programów szpiegujących.
Więcej spamu randkowego
W oczekiwaniu na przybycie Kupidyna, oprócz spamu związanego z robakiem Waledac, w sieci pojawia
się coraz więcej „spamu randkowego”. Niektóre wiadomości z tej grupy są bardzo specyficzne ―
zwłaszcza te, które mają sprawić wrażenie, że zostały napisane przez firmę Trend Micro (!). Pole „Od” w
tych wiadomościach jest sfałszowane, aby uniknąć filtrów antyspamowych. Ponadto do ich wysłania
wykorzystano schemat znany jako „atak słownikowy” (ang. dictionary attack). Atak słownikowy
występuje wtedy, gdy spam jest wysyłany pod adresy losowe z danej domeny. Adresy są tworzone na
podstawie obszernej listy prostych słów (zorganizowanej jak słownik) w nadziei, że przynajmniej
niektóre zadziałają. Adresy te są weryfikowane przez nieznanych użytkowników, którzy odpowiedzą na
wiadomość. Są one wtedy dodawane do listy spamerów, w wyniku czego użytkownicy ci będą
otrzymywać więcej spamu.
W tym przypadku badacze firmy
Trend Micro wykryli jednak
interesujące i zabawne zjawisko.
Ponieważ adresy „Od” zostały
sfałszowane,
spamerzy
nie
otrzymywali odpowiedzi zwrotnych
na swoje wiadomości, a zatem w
zasadzie cały ich wysiłek włożony
w
przedsięwzięcie
został
zmarnowany.
W celu oszukania użytkowników spamerzy
wykorzystują fałszywe adresy e-mail firmy
Aby zachować pełne bezpieczeństwo w
Trend Micro
okresie Walentynek, należy pamiętać o
oszustwach typu phishing, szkodliwych
kartkach elektronicznych oraz fikcyjnych
profilach służących do organizowania randek on-line. Jeden z możliwych schematów phishingu polega na
wysłaniu wiadomości e-mail z ostrzeżeniem, że kwiaty i czekoladki zamówione dla ukochanej nie
zostaną dostarczone, jeśli użytkownik nie zaloguje się i nie wpisze ponownie kodu swojej karty
kredytowej. Podstęp z kartką elektroniczną może polegać na tym, że użytkownik jest proszony o pobranie
najnowszego odtwarzacza multimedialnego umożliwiającego jej odtworzenie. Zamiast prawdziwego
odtwarzacza użytkownik pobiera jednak pakiet szkodliwego oprogramowania. Podobnie wykorzystanie
fikcyjnych profili randkowych skończy się raczej pobraniem szkodliwego oprogramowania, niż
prawdziwym romansem. Co gorsza, nowa miłość może poprosić o wysłanie pieniędzy na bilet lotniczy,
aby móc się wreszcie spotkać. Internauci powinni więc pamiętać, aby przy otwieraniu wiadomości e-mail,
klikaniu adresów internetowych i pobieraniu plików używać raczej głowy niż serca.
David Sancho, Senior Antivirus Researcher w firmie Trend Micro:
Autorzy szkodliwego oprogramowania wykorzystywali już wcześniej w swoich działaniach
socjotechnicznych życzenia walentynkowe. Dawniej były to przeważnie życzenia od jednego nadawcy do
jednego adresata (e-mail z informacją „Kocham Cię” od kogoś znanego lub nieznanego adresatowi), ale
ponieważ jest to metoda mało skuteczna, ostatnio autorzy zaczęli stosować pocztówki elektroniczne
(eGreeting), które dają znacznie większe efekty. Technika ta polega na wysyłaniu fałszywych
powiadomień e-mail z serwisu internetowego eGreeting. Wiadomości takie informują adresata, że
w pewnym serwisie internetowym czeka przeznaczona dla niego wirtualna kartka z życzeniami,
oraz podają niebezpieczne łącze z adresem, pod którym rzekomo można ją odebrać. Strategia ta okazała
się bardzo skuteczna z punktu widzenia autorów szkodliwego oprogramowania. Storm, jeden z
najbardziej rozpowszechnionych w latach 2007–2008 robaków, rozprzestrzeniał się właśnie za
pośrednictwem elektronicznych kartek z życzeniami przez cały rok, poczynając od walentynkowej
kampanii rozsyłania spamu. W załączonych do tej informacji przykładowych e-mailach rozsyłanych
przez Storm proszę zwrócić uwagę, że ich tekst jest bardzo zwięzły i krótki, co utrudnia rozpoznanie
spamu metodą wykrywania ciągów znaków. Wiadomości te są zwykle w języku angielskim, zapewne
dlatego, że zwiększa to ich skuteczność i zasięg oddziaływania w porównaniu z innymi językami.
Rok 2009 będzie pod tym względem podobny. Możemy się spodziewać podobnych strategii twórców
szkodliwego oprogramowania — wiadomości e-mail z kartkami elektronicznymi kierującymi do
niebezpiecznych stron internetowych albo zawierających szkodliwe pliki. Być może pojawią się też nowe
odmiany tych dwóch metod.
Warto podkreślić różnicę między „spamem walentynkowym” i „wirusami walentynkowymi” a „spamem
randkowym”. Ten ostatni rodzaj odnosi się do wiadomości e-mail reklamujących serwisy randkowe, a nie
elektroniczne kartki z życzeniami. W spamie walentynkowym wykorzystywany jest fakt, że adresat jest
czyimś znajomym lub krewnym, natomiast spam randkowy opiera się na założeniu przeciwnym —
poszukiwaniu znajomości.
Istnieje metoda odgadywania haseł z wykorzystaniem listy słów. Wirusy, które używają tej metody do
złamania hasła dostępu do sieci, próbują podawać słowa z listy popularnych haseł, takich jak „abc" czy
„123". Jeżeli administrator sieci nie egzekwuje stosowania skomplikowanych haseł, wirus może
przedostać się do niej i umieścić tam swój szkodliwy kod.
Informacje o firmie Trend Micro
Trend Micro Incorporated jest światowym liderem w dziedzinie bezpieczeństwa Internetu. Firma zajmuje się głównie zabezpieczeniem wymiany
informacji cyfrowej przez przedsiębiorstwa i użytkowników indywidualnych. Jako pionier i awangarda tej branży Trend Micro opracowuje
zintegrowane technologie przeciwdziałania atakom, zabezpieczające działalność przedsiębiorstw, informacje osobiste i majątek przed
programami destrukcyjnymi, spamem, wyciekami danych oraz najnowszymi zagrożeniami internetowymi. Więcej informacji na temat tych
zagrożeń można znaleźć w serwisie internetowym TrendWatch pod adresem www.trendmicro.com/go/trendwatch. Elastyczne rozwiązania Trend
Micro są dostępne w różnych formach, a całodobowej pomocy technicznej do nich udzielają na całym świecie eksperci z dziedziny badania
zagrożeń.
Trend Micro jest firmą międzynarodową, a jej centrala mieści się w Tokio. Oferowane przez firmę rozwiązania z zakresu bezpieczeństwa cieszą
się zaufaniem i są sprzedawane za pośrednictwem partnerów handlowych na całym świecie.
Dodatkowe informacje na temat firmy Trend Micro oraz wersje demo jej produktów i usług można znaleźć w serwisie internetowym pod
adresem www.trendmicro.com.
###
Trend Micro, logo t-ball, TrendSecure, Venus Spy Trap i PC-cillin są znakami towarowymi lub zastrzeżonymi znakami towarowymi firmy Trend
Micro Incorporated. Wszystkie inne nazwy firm lub produktów są znakami towarowymi lub zastrzeżonymi znakami towarowymi ich właścicieli.
Celem uzyskania dalszych informacji prosimy o kontakt z:
Inga Ganowska
Fischer&Zubek PR Partners
+ 48 22 551 54 71,
+ 48 22 551 54 72,
+ 48 503 099 795,
[email protected]