02.07.2014
Od 26 czerwca wielu użytkowników otrzymało fałszywe powiadomienie o nowym zamówieniu, które zostało rzekomo wysłane z jednej z najbardziej znanych firm z sektora e-commerce. Wiadomości zapraszały użytkowników do otwarcia załącznika - faktury zawierającej szczegóły złożonego przez nich zamówienia. Wiadomość została napisana w języku angielskim, a jej tekst był zawsze ten sam we wszystkich, znanych na obecną chwilę, incydentach. Zmieniały się tylko data i numer zamówienia:
Hi,
Thank you for your order. We’ll let you know once your item(s) have dispatched. You can view the status of your order or make changes to it by visiting Your Orders on Amazon.com.
Po czym podane były dane konkretnego zamówienia, a forma graficzna listu odpowiadała tej używanej przez serwis Amazon.com.
Archiwum ZIP dołączone do listu zawierało złośliwy plik wykonywalny wirusa BackDoor.Tishop.122. Twórcy wirusa nazwali ten program Smoke Loader. Ten Trojan został zaprojektowany do pobierania innych złośliwych aplikacji na zainfekowany komputer, co powoduje tym samym, że systemy pozbawione ochrony antywirusowej mogą stać się skupiskiem złośliwych programów. Po uruchomieniu się BackDoor.Tishop.122 skanuje środowisko pod kątem obecności "sandboxa" lub maszyny wirtualnej, kopiuje siebie do folderu na dysku twardym, dodaje wpis do sekcji autorun w rejestrze Windows i „wstrzykuje” swój kod do wielu procesów systemowych. Jeśli maszyna jest podłączona do Internetu, Trojan próbuje pobrać inne złośliwe programy i uruchomić je na zainfekowanym komputerze.
Użytkownikom zaleca się zwiększenie ostrożności. Nie należy otwierać załączników z e-maili od nieznanych nadawców oraz dokumentów zawierających informacje o zamówieniu w sytuacji, kiedy nie korzystaliśmy z usług danego sklepu internetowego. Takie wiadomości powinny być kasowane natychmiast po ich odebraniu.
Oprogramowanie Doctor Web z powodzeniem wykrywa BackDoor.Tishop.122, więc ten Trojan nie stanowi zagrożenia dla systemów chronionych przez antywirusy Dr.Web.
Tell us what you think
To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.
Other comments