Společnost MessageLabs varuje před novou variantou trojského koně přicházejícího jako e-mail, jenž se tváří jako záplata systému proti síťovému červu Blaster alias LoveSan.
Prvotní kopie pocházejí z Číny a objevily se již 15. srpna. Trojan byl pojmenován
Troj/Backdoor-ARR u jiných antivirových společností může figurovat pod názvy
Troj/GrayBird.A, Backdoor.GrayBird.g nebo
BKDR_GRAYBIRD.B.
Trojan přichází jako příloha emailu, který byl rozeslán na množství adres. Na infikovaném počítači umožní útočníkovi vzdálený přístup a ovládání systému přes internet, posílat emaily, krást hesla a zaznamenává stisknutí kláves.
Příchozí zpráva může vypadat takto:
Od: webmaster@microsoft.com (adresa je podvržená)
Předmět: updated
Text:
At 11:34 A.M. Pacific Time on August 13, Microsoft began investigating a worm reported by Microsoft Product Support Services (PSS). A new worm commonly known as W32.Blaster.Worm has been identified that exploits the vulnerability that was addressed by Microsoft Security Bulletin MS03-026.
Download the attached update program. To begin the download process, do one of the following:
To download the attached program to your computer for installation at a later time, click Save or Save this program to disk.then run it. If you have any problem, connect to us immediately.
Příloha: 03-26updated.exe (319 670 B)
Po spuštění přílohy uživatelem se vir zkopíruje do složky systému Windows pod názvem spoolsv.exe a své spuštění při dalším startu operačního systému si zajistí modifikací registrů:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SPOOLSV
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\SPOOLSV
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\SPOOLSV
Na systémech Windows 9x/ME přidá své spuštění i do souboru WIN.INI (run=SPOOSV).
Dostanete-li do vaší schránky jakýkoliv spustitelný soubor pocházející od Microsoftu, můžete si být 100% jisti, že jej k vám tato firma neposlala a raději jej ihned smažte. Společnost Microsoft zásadně žádné záplaty nebo jiné programy uživatelům nezasílá. Můžete od ní dostat jedině pozvánku na nějakou marketingovou akci, ale nikdy žádný spustitelný soubor!