Jednym ze wskaźników jakości automatycznego oprogramowania tłumaczącego z języka angielskiego na polski jest zawartość skrzynki na spam. Szczególnie często dotyczy to śmieci wrzucanych po to, by potem podrzucić komuś jakąś kolejną odmianę ZeuSa/Zbota czy inne narzędzie infekcji.

i wannted wyslac u moje zdjecie dawno temu, ale balem sie, ze u dont like do mnie. sprawdzic na linki u zobaczyc moje zdjecie, mam nadzieje, ze u like it

Pobierz i zobaczyc moje zdjecie … (tu link do zipa)

Gdy pobrałem ten plik, nie zdziwiłem się, że wewnątrz archiwum ZIP jest plik wykonywalny dla środowiska Windows.
wirusik w archiwum
Gdy zgłosiłem plik do sprawdzenia za pomocą VirusTotal, okazało się, że nie byłem pierwszy. Wcale mnie to nie zdziwiło.
wirusik zgloszony
Oczywiście jest to wirusik. Wybrałem ponowną analizę, oto wyniki:

Avast 4.8.1351.0 -Win32:Ruskill-CU [Trj]
Avast5 5.0.677.0 -Win32:Ruskill-CU [Trj]
GData 22 -Win32:Ruskill-CU
Kaspersky 9.0.0.837 – Trojan-PSW.Win32.Agent.ymk
Panda- 10.0.3.5 – Suspicious file
VIPRE 10480 – Trojan.Win32.Generic.pak!cobra
Tej próbki nie rozpoznały ani Symantec, ani McAfee, ani ESET Nod32, ani Trend Micro. Podobnie nie zauważył tej infekcji skaner Microsoftu.
Jest to przypadek jednostkowy, związany z pojedynczym plikiem, ale po przejrzeniu kilkudziesięciu podobnych raportów z dnia dzisiejszego widać wyraźnie, że skanery antywirusowe pozostają w tyle za zagrożeniami. Wskazówką, która jednoznacznie wskazywała na zawartość, była treść maila.
Ponownie zdrowy rozsądek wygrywa.
Specjaliści zainteresują się pewnie disassemblacją (dasm32) i analizą tego trojana – dość ciekawy materiał dostępny tu, na stronach CRDF. Oczywiście wirusik ma także narzędzie do aktualizacji pobierane z serwera, którego nazwę DNS utrzymuje serwer DNS w Chinach. Kto nie wierzy, niech sprawdzi na stronach Robtex.