måndag 15 oktober 2012

Farliga bilder från en Facebook-kompis?

Under helgen har en ny typ av skadlig kod spridits. Den skadliga filen skickas som en bilaga i ett e-postmeddelande. För att undvika att antivirus-motorer i eventuella e-postgateways detekterar filen skickas den i en lösenordsskyddad ZIP-fil. WeCloud rekommenderar att lösenordsskyddade filer från okända avsändare raderas.

Avsändaren uppger att denne försökt kontakta mottagaren vid flera tillfällen utan att lyckas och att denne nu skickar över bilder som tros kan intressera mottagaren.


E-postmeddelandet innehåller en lösenordsskyddad fil och en uppmaning att öppna filen med hjälp av ett lösenord som uppges i samma meddelande.







Den lösenordsskyddade filen innehåller en exekverbar fil med Facebook-ikon som startar en skadlig process om den körs.

SHA256: c14d25987784927292c73b32eea255a32b577698d94661ddffc51b4084cfddec
File name: dc7841.exe

När WeClouds tekniker upptäckte den skadliga koden var den okänd av de flesta AntiVirus-program, endast 5 av 42 testade AntiVirus-program klassade filen som skadlig. I skrivandets stund har ytterligare 3 antivirusleverantörer malware-klassat filen.

WeCloud distribuerar den cloudbaserade antiviruslösningen Webroot SecureAnywhere, som hör till en av de få leverantörer, som stoppar det nya hotet. Webroot Secure Anywhere har dessutom unika funktioner för att hantera okända hot. Lösningen övervakar och loggar alla filer som inte klassificerats som godartade - för att i senare skede kunna "rulla tillbaka" förändringar som orsakats av filen, om den i efterhand klassas som skadlig.