«Штормовые черви» снова меняют тактику
«За теми, кто что-то загружает, наблюдают. RIAA постоянно упоминается в новостях по поводу исков против таких людей, как ты. Наша программа устранит любую возможность выследить тебя. Используй это программное обеспечение для защиты прайвеси и своего права пользоваться Сетью», — говорится в письме на английском языке.
После текста следует ссылка на сайт без доменного имени — http://208.104.94.???. Адрес принадлежит пулу Rock Hill Telephone Company. Сегодня утром сайт уже был удален. Вчера вечером страница содержала рекламу приложения анонимного веб-серфинга Tor с несколькими логотипами Tor и ссылку на исполняемый файл tor.exe размером 137,7 КБ, который на самом деле представляет собой Trojan.Packed.142 по классификации Dr.Web, одну из разновидностей Email-Worm.Win32.Zhelatin. Это один из «штормовых червей», используемых для создания масштабного ботнета.
Хакеры, вероятно, были настолько уверены в том, что прием социальной инженерии сработает, что не стали снабжать страницу эксплойтами, самостоятельно устанавливающими исполняемый код через ошибку в браузере.
Напомним, что в прошлый раз распространители «штормовых червей» рассылали спам, содержащий ссылку якобы на YouTube. На самом деле ссылка вела на подставную веб-страницу с размещенными на них эксплойтами для браузера, которые автоматически загружали и запускали на компьютере жертвы вредоносный код.