آبجی
7th November 2009, 02:08 PM
شرکت امنیتی MX Labs گزارش داد یک نسخه جدید از تروجان Bredolab به یک ایمیل جعلی با عنوان «Facebook Password Reset Confirmation» ضمیمه شده است.
به گفته این شرکت امنیتی، برخی کاربران ایمیلهایی از طرف «The Facebook Team» دریافت کرده اند. آدرس فرستنده این ایمیل بصورت «service@facebook.com» و یا «support@facebook.com» نمایش داده می شود. اما در حقیقت آدرس و فرستنده این ایمیل جعلی هستند.
به گزارش MX Labs، این ایمیل یک پیوست به نام «Facebook_Password_4cf91.zip» داشته و شامل فایلی به نام «Facebook_Password_4cf91.exe» است که بنا بر ادعای ایمیل مذکور، این فایل حاوی کلمه عبور جدید کاربر Facebook است. این شرکت امنیتی اعلام کرد که بخش آخر نام این فایل (در مثال بالا بخش ۴cf91) برای هر کاربر بصورت تصادفی و ترکیبی از حروف و ارقام انتخاب میشود.
به گزارش سایت امنیت وب ایران (http://www.certcc.ir/Portal/Home/ShowPage.aspx?Object=News&ID=f3ec109a-938a-4118-9db7-765bcf45452a&LayoutID=87a9bcf6-b6a3-44c9-8f45-9f9489d3df51&CategoryID=8fac287d-3e26-4f77-a49d-c5077e2d9181)، زمانی که کاربری این فایل را دانلود میکند، این فایل شروع به خرابکاری بر روی سیستم وی مینماید. به گفته MX Labs، تروجان Bredolab فایلهایی مانند ابزارهای ضد جاسوسی قلابی را از اینترنت اجرا میکند. این تروجان برای رد شدن از فایروال، کد خود را به پروسه های معتبر svchost.exe و explorer.exe تزریق مینماید. همچنین در صورتیکه برنامه دیگری شروع به تحقیق درباره فعالیتهای این تروجان کند، Bredolab فعالیت خود را متوقف کرده و به این ترتیب خود را از چشم آن برنامه دور میکند. بنا بر گزارش MX Labs، زمانی که این تروجان به سیستم کاربری راه پیدا میکند، «%AppData%\wiaservg.log» و «%Programs%\Startup\isqsys32.exe» را در فایلهای سیستم ایجاد مینماید. همچنین دو پردازه جدید به نامهای «isqsys32.exe» و «svchost.exe» نیز ایجاد میشوند.
گروه امنیتی M86 نیز اعلام کرد که این تروجان، یک Bot به نام Pushdo را نیز دانلود میکند که بلافاصله شروع به ارسال تعداد بیشتری از ایمیلهای مربوط به تغییر کلمه عبور Facebook مینماید.
سایت Facebook نیز بلافاصله اعلام کرد که این ایمیلها از طرف این شرکت نیستند. یک سخنگوی Facebook اعلام کرد که این تروجان از طریق ایمیل در حال گسترش است و نه از طریق سایت Facebook. وی همچنین اظهار داشت که از طریق صفحه امنیت Facebook در حال آموزش کاربران برای شناسایی این ایمیل جعلی هستند. این شرکت همچنین تاکید کرد که هرگز برای کاربران خود کلمه عبور جدیدی به شکل پیوست یک ایمیل ارسال نمیکند.
کاربرانی که این فایل را دانلود کرده اند، باید با استفاده از نرم افزار ضد بدافزار آن را پاک نمایند. فهرستی از نرم افزارهای آنلاین اسکن کننده بدافزار را میتوانید در این مقاله مشاهده نمایید.
به گفته این شرکت امنیتی، برخی کاربران ایمیلهایی از طرف «The Facebook Team» دریافت کرده اند. آدرس فرستنده این ایمیل بصورت «service@facebook.com» و یا «support@facebook.com» نمایش داده می شود. اما در حقیقت آدرس و فرستنده این ایمیل جعلی هستند.
به گزارش MX Labs، این ایمیل یک پیوست به نام «Facebook_Password_4cf91.zip» داشته و شامل فایلی به نام «Facebook_Password_4cf91.exe» است که بنا بر ادعای ایمیل مذکور، این فایل حاوی کلمه عبور جدید کاربر Facebook است. این شرکت امنیتی اعلام کرد که بخش آخر نام این فایل (در مثال بالا بخش ۴cf91) برای هر کاربر بصورت تصادفی و ترکیبی از حروف و ارقام انتخاب میشود.
به گزارش سایت امنیت وب ایران (http://www.certcc.ir/Portal/Home/ShowPage.aspx?Object=News&ID=f3ec109a-938a-4118-9db7-765bcf45452a&LayoutID=87a9bcf6-b6a3-44c9-8f45-9f9489d3df51&CategoryID=8fac287d-3e26-4f77-a49d-c5077e2d9181)، زمانی که کاربری این فایل را دانلود میکند، این فایل شروع به خرابکاری بر روی سیستم وی مینماید. به گفته MX Labs، تروجان Bredolab فایلهایی مانند ابزارهای ضد جاسوسی قلابی را از اینترنت اجرا میکند. این تروجان برای رد شدن از فایروال، کد خود را به پروسه های معتبر svchost.exe و explorer.exe تزریق مینماید. همچنین در صورتیکه برنامه دیگری شروع به تحقیق درباره فعالیتهای این تروجان کند، Bredolab فعالیت خود را متوقف کرده و به این ترتیب خود را از چشم آن برنامه دور میکند. بنا بر گزارش MX Labs، زمانی که این تروجان به سیستم کاربری راه پیدا میکند، «%AppData%\wiaservg.log» و «%Programs%\Startup\isqsys32.exe» را در فایلهای سیستم ایجاد مینماید. همچنین دو پردازه جدید به نامهای «isqsys32.exe» و «svchost.exe» نیز ایجاد میشوند.
گروه امنیتی M86 نیز اعلام کرد که این تروجان، یک Bot به نام Pushdo را نیز دانلود میکند که بلافاصله شروع به ارسال تعداد بیشتری از ایمیلهای مربوط به تغییر کلمه عبور Facebook مینماید.
سایت Facebook نیز بلافاصله اعلام کرد که این ایمیلها از طرف این شرکت نیستند. یک سخنگوی Facebook اعلام کرد که این تروجان از طریق ایمیل در حال گسترش است و نه از طریق سایت Facebook. وی همچنین اظهار داشت که از طریق صفحه امنیت Facebook در حال آموزش کاربران برای شناسایی این ایمیل جعلی هستند. این شرکت همچنین تاکید کرد که هرگز برای کاربران خود کلمه عبور جدیدی به شکل پیوست یک ایمیل ارسال نمیکند.
کاربرانی که این فایل را دانلود کرده اند، باید با استفاده از نرم افزار ضد بدافزار آن را پاک نمایند. فهرستی از نرم افزارهای آنلاین اسکن کننده بدافزار را میتوانید در این مقاله مشاهده نمایید.