02.07.2014

Masowe wysyłki maili są jedną z ulubionych metod dystrybucji złośliwego oprogramowania używanych przez cyberprzestępców. W dniach 26-27 czerwca 2014 analitycy bezpieczeństwa z firmy Doctor Web zarejestrowali dużą ilość e-maili zawierających niebezpiecznego Trojana, w których nadawca podszywał się pod sklep internetowy Amazon.

Od 26 czerwca wielu użytkowników otrzymało fałszywe powiadomienie o nowym zamówieniu, które zostało rzekomo wysłane z jednej z najbardziej znanych firm z sektora e-commerce. Wiadomości zapraszały użytkowników do otwarcia załącznika - faktury zawierającej szczegóły złożonego przez nich zamówienia. Wiadomość została napisana w języku angielskim, a jej tekst był zawsze ten sam we wszystkich, znanych na obecną chwilę, incydentach. Zmieniały się tylko data i numer zamówienia:

Po czym podane były dane konkretnego zamówienia, a forma graficzna listu odpowiadała tej używanej przez serwis Amazon.com.

Archiwum ZIP dołączone do listu zawierało złośliwy plik wykonywalny wirusa BackDoor.Tishop.122. Twórcy wirusa nazwali ten program Smoke Loader. Ten Trojan został zaprojektowany do pobierania innych złośliwych aplikacji na zainfekowany komputer, co powoduje tym samym, że systemy pozbawione ochrony antywirusowej mogą stać się skupiskiem złośliwych programów. Po uruchomieniu się BackDoor.Tishop.122 skanuje środowisko pod kątem obecności "sandboxa" lub maszyny wirtualnej, kopiuje siebie do folderu na dysku twardym, dodaje wpis do sekcji autorun w rejestrze Windows i „wstrzykuje” swój kod do wielu procesów systemowych. Jeśli maszyna jest podłączona do Internetu, Trojan próbuje pobrać inne złośliwe programy i uruchomić je na zainfekowanym komputerze.

Użytkownikom zaleca się zwiększenie ostrożności. Nie należy otwierać załączników z e-maili od nieznanych nadawców oraz dokumentów zawierających informacje o zamówieniu w sytuacji, kiedy nie korzystaliśmy z usług danego sklepu internetowego. Takie wiadomości powinny być kasowane natychmiast po ich odebraniu.

Oprogramowanie Doctor Web z powodzeniem wykrywa BackDoor.Tishop.122, więc ten Trojan nie stanowi zagrożenia dla systemów chronionych przez antywirusy Dr.Web.