Компания Trend Micro обнаружила новую "троянскую" программу - TROJ_DONBOMB.A - которая использует недавние террористические акты в Лондоне как основу для своего распространения.
Эта программа поступает пользователю по электронной почте, когда он нажимает на гиперссылку, которая как будто бы ведет на сайт CNN. В тексте сообщения содержится модифицированная HTML-копия Web-страницы CNN, посвященной Лондонской трагедии, с дополнением, которое предлагает просмотреть любительское видео об этом событии.
Троянская программа TROJ_DONBOMB.A стала последним случаем все более популярной «социотехники», когда злоумышленники имитируют реальные новостные агентства с целью ускорить распространение вредоносных программ. Хотя использование недавних популярных событий в таких целях старо, как сами эти вредоносные программы, имитация новостных агентств стала относительно новой практикой, которая может приобрести еще большее распространение в будущем.
Стоит отметить, что это не первый случай, когда вредоносные программы используют эту методику. Например, семейство червей BOBAX, варианты которых появились в первой половине 2005 г. Недавно была обнаружена разновидность этого червя BOBAX.P. Каждый вариант этого семейства содержит историю, фальсифицирующую либо смерть Осамы Бен Ладена, либо Саддама Хуссейна, и обещающую предоставить соответствующею информацию, фотографии и т.д. BOBAX.P представляет собой смешанную вредоносную программу (троян/червь), целью которой является загрузка программы TROJ_SMALL.AHE. Последняя распространяет "червя", обеспечивая его запись в память компьютера. Вредоносные программы этого семейства заразили более 53.000 компьютеров.
Вредоносная программа VBS_PHEL.P, которая фальсифицирует попытку самоубийства поп-звезды Майкла Джексона в ходе столь широко освещавшегося судебного разбирательства по обвинению в совращении несовершеннолетнего ребенка. Эта вредоносная программа использует уязвимое место HTML Help File Code Execution (MS00-037), которое позволяет запускать программный код с помощью нажатия ярлыков в справочных HTML-файлах без одобрения пользователя. После начала исполнения кода эта вредоносная программа отправляет сообщения на адреса Gmail.com, Hotmail.com и Yahoo.com. Данный вирус использует уязвимое место, известное уже в течение пяти лет, но, тем не менее, ему до сих удается заражать компьютеры по всему миру.
Червь WORM_ANTIMAN.A, один из вариантов которого "обещает" показать видео, раскрывающее "истинные причины", которые привели к смерти папы Иоанна Павла II. Этим червем заразились лишь несколько сотен компьютеров. Он сканирует жесткие диски компьютера и удаляет мультимедийные файлы, которые содержат определенные последовательности. Все образцы этого червя были написаны на румынском языке, что, возможно, привело к необычно низкому уровню заражения.
Джейми Линдон Янеза (Jaime Lyndon Yaneza), старший исследователь компании Trend Micro, которая занимается обеспечением безопасности контента и производством антивирусных программ, считает, что эта методика станет еще более популярной в ближайшем будущем. "Люди всегда жаждут "острых" новостей, хорошие они или плохие", - говорит Янеза. "Эффективная социотехника базируется на максимальном привлечении внимания людей. Создателям вредоносных программ, которые достаточно циничны, чтобы воспользоваться человеческой трагедией к своей выгоде, эта методика покажется весьма привлекательной".
Троянская программа DONBOMB.A используется для сбора адресов электронной почты из зараженной системы с целью дальнейшей рассылки спама благодаря собственному SMTP-механизму. На данный момент еще не известно, сколько систем было заражено в ходе последней атаки. Однако по мнению Янеза: "Проблемой является не степень успеха этой атаки, а тревожная тенденция использовать человеческую трагедию для приобретения известности в результате широкого распространения такого вредоносного ПО".
