Po raz kolejny docierają do mnie próbki wirusów. Tym razem była to hiszpańskojęzyczna wiadomość e-mail ze sfałszowanym adresem zwrotnym i dziwnymi nagłówkami (creapr-antispam1.crea-pr.org.br, mail.crea-pr.org.br), w której znajdują się dwa linki. Po rozwiązaniu kilku następujących po sobie przekierowań (migre.me -> www.planetefacility.com -> unover.com) dostałem plik ZIP zawierający rzekomo rozszerzenie panelu sterowania. Po analizie za pomocą VirusTotal okazało się, że jest to downloader wirusa, instalujący prawdopodobnie jakiś klon SpyEye.
wirusik
Spośród wszystkich motorów antywirusowych połączonych w VirusTotal.com, wykryły go: AhnLab-V3, AntiVir, avg, Bitdefender, Comodo, Emsisoft, NOD32, F-Secure, Fortinet, G-Data, Ikarus, Kingsoft, Malwarebytes, McAfee (w wersji chmurowej i on premises), Norman, Sophos, Symantec i chmurowy Trend Micro-Housecall. Jest to względnie nowy wirusik, nie zna go antywirus Microsoftu, a zatem aplikacja taka prawdopodobnie przejdzie przez ochronę wbudowaną w Windows 8.
virustotal
Mechanizm infekcji jest tu podobny – ofiara ściąga ZIPa, otwiera z niego plik .CPL, a następnie uruchamia.
Takich infekcji można uniknąć, pod warunkiem szkoleń, a także zablokowania wykonywania plików binarnych spoza instalacji zatwierdzonej przez administratora. Windows 8 w korporacyjnej wersji dołączony do domeny z serwerem 2012 zawiera mechanizm blokowania nieznanych aplikacji. Gorąco zachęcam administratorów, by poczytali w dokumentacji Windows o tym jak zablokować wykonywanie oprogramowania spoza firmowej listy, a następnie rozpoczęli wdrażanie takich reguł w firmie. Wymaga to pracy, ale w zamian za to oferuje o wiele lepsze bezpieczeństwo.