Troianul care vorbește pe Yahoo! Messenger. În română.

De ce să nu recunoaștem - stăm pe Messenger în fiecare zi. Suntem conectați de acasă, de la birou, chiar și din cafenele sau de pe telefonul mobil. Schimbăm mesaje cu prietenii - mesaje care uneori conțin și link-uri. Și presupunem în tot acest timp că în spatele ID-ului de Messenger se află un prieten, o persoană pe care o cunoaștem, iar toate link-urile și mesajele vin chiar de la ea.

Dar dacă prietenul are calculatorul infectat? Sa facem cunoștință cu Trojan.Win32.Buzus.cmwr:

Mesajul pare a fi suspicios din diverse motive: în primul rând, atât link-ul cât și restul textului sunt scrise pe aceeași linie, apoi, limba folosită este spaniola, nicidecum româna. Diverse indicii i-ar putea face pe mulți dintre noi sa ignore un astfel de mesaj, și totuși vedem persoane infectate.

Dar sa facem cunoștință cu o amenințare mai interesantă - Trojan-IM.Win32.Agent.ae - care arată cam așa:

Deja avem de-a face cu o adevărată strategie de inginerie socială:

• Mesajele vin pe linii diferite, cu timp între ele, imitând perfect o persoană reală
• Buzz-ul, acest element de nelipsit (din păcate) în conversațiile pe Messenger
• Greșelile de ortografie - cireașa de pe tort - c-așa e la noi, mai greu cu i-urile :)
• Link-ul duce către un blog aparent onest, nicidecum către un fișier executabil

Odată deschis blog-ul menționat, strategia merge pe bine cunoscuta rețetă Koobface: landing page-uri cu playere video false ce au nevoie de un „plug-in" sau de un „codec" pentru a fi văzute.

Având in vedere rata rapidă de răspândire a acestui troian (statisticile fisier.ro pentru ultima versiune a executabilului aratau peste 10.000 de download-uri în mai puţin de 24 de ore), am luat un set de masuri pentru a-i proteja atât pe utilizatorii noștri, cât și pe ceilalți utilizatori de internet:

• Am adăugat detecție pentru programul malware (Trojan-IM.Win32.Agent.ae)
• URL-urile blog-urilor ce distribuție acest atac au fost și ele adăugate in blacklist
• Am notificat blogspot.com pentru a șterge blog-urile ce răspândesc atacul
• Am notificat fisier.ro pentru a șterge programele malware
• Monitorizam continuu punctele de distribuție ale acestui atac pentru a intercepta eventuale modificări

În loc de încheiere, un hint pentru situații similare pe viitor: pentru orice fel de fișiere suspecte primite pe Yahoo! Messenger, Skype, MSN, alte rețele, sau venite de oriunde din internet, va recomand să le trimiteți arhivate cu parola "infected" la newvirus@kaspersky.ro pentru analiză, înainte să le rulați.