Bezpieczeństwo

Groźna łatka Windowsa XP

przeczytasz w 2 min.

Cyberprzestępcy pod pretekstem aktualizacji systemu Windows XP wprowadzili do wielu komputerów niebezpiecznego robaka znanego wcześniej jako Trojan.Generic.171369. Dodatkowo cyberprzestępcy zastosowali graficzny trik, dzięki któremu użytkownicy nie byli świadomi zagrożenia i wpadli w pułapkę.

Podstęp jest jednocześnie prosty i skuteczny. Tomasz Zamarlik G Data Software - Cyberprzestępcy obiecując w temacie wiadomości aktualizacje dla Windows XP SP3 „Critical Update for Windows XP SP3” zachęcają ofiarę do otwarcia załączonego folderu. Folder okazuje się plikiem EXE, który został zamaskowany poprzez zmianę ikony pliku wykonywalnego na ikonę folderu. Instalacja pliku robaka w systemie niesie za sobą niepożądane działania. Zarażony komputer staje się nosicielem wirusów. Ofiarom, oczywistym wydawał się fakt, że aktualizacje i poprawki pochodzą od oryginalnego producenta. Temat wiadomości „Zabezpieczymy komputer i zapewnimy wszystkie aktualizacje” jeszcze bardziej uwiarygodniał wiadomość, a ikona folderu nie wzbudzała podejrzeń. Teraz spamerzy dzięki dużej skali infekcji mogą czerpać wysokie korzyści np. świadcząc usługi rozsyłania spamu.

Łukasz Nowatkowski G Data Software - Ten szkodnik jest nam juz dobrze znany, jednakże maskowanie plików pod ikoną folderu jest interesujące. Ta pułapka jest całkowicie pięknym podstępem, dzięki któremu użytkownicy są wprowadzani w błąd. Niestety każdy, kto żyje w pośpiechu i szybko chce zobaczyć zawartość folderu otrzymanego w załączniku lub nie wie, że plik może mieć różne ikony szybko może stać się ofiarą hakera.

Kamuflaż pliku .exe pod ikoną folderu – (przy domyślnych ustawieniach systemu Windows) nie jest jasne, że jest to plik wykonywalny.

Kamuflaż pliku .exe pod ikoną folderu – (przy niestandardowych ustawieniach Windows)  ze wskazaniem na rozszerzenie pliku wykonywalnego.

Robak pojawił się w załącznikach wiadomości e-mail, jako plik EXE o nazwie „mswinxpa_sp3upd.exe”. Plik wykonywalny ukryty jest pod ikoną folderu. Podczas uruchomienia niebezpiecznego załącznika skaner G Data wykrywa robaka jako Trojan.Generic.171369. Robak łączy się z zewnętrznego serwera SMTP (port 25), a następnie rozsyła wiadomości z fałszywym załącznikiem. Dodatkowo kilkukrotnie kopiuje się na dysku twardym ofiary i maskuje się pod znanymi nazwami plików. Ponad to szkodnik ten ingeruje w funkcje autostartu. Wyłączając dostęp do Menedżera zadań i edytora rejestru, uniemożliwia podejrzenie i zabicie procesów trojana oraz edycję wszystkich zaufanych procesów systemowych.

Cyberprzestępcy wśród użytkowników komputerów PC wielokrotnie starali się rozesłać fałszywe pliki ukryte pod linkami lub jako załączniki wiadomości e-mail. Podstęp hakerów, dzięki któremu odbiorcy wiadomości mają małe szanse na wykrycie fałszywych pików, polega na oszukaniu niedoświadczonego użytkownika poprzez zmianę ikony.

Eksperci z laboratorium G Data wszystkim użytkownikom zalecają usunąć załącznik z powyższych e-maili i aktualizację przeprowadzać bezpośrednio z systemu Windows poprzez narzędzia dostępne w panelu „Centrum zabezpieczeń”.  W trakcie odbierania poczty przychodzącej podczas wątpliwości użytkownicy zawsze powinni usuwać wiadomości rzekomo zawierające aktualizacje oraz załączniki od nieznanych nadawców. Microsoft nie wysyła aktualizacji pocztą e-mail.

Źródło: informacja prasowa

Komentarze

31
Zaloguj się, aby skomentować
avatar
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    19arek93
    0
    Jedna zasada - nie otwieramy nic gdy nie wiemy od kogo to pochodzi. Trzeba sobie wpoić w głowę pewne zasady i ich przestrzegać. Inaczej może być nieciekawie.
    • avatar
      Konto usunięte
      0
      Wszystkto przez debilnego windowsa ,który domyślnie ukrywa rozszeżenia! Komu to przeszkadzało?!?
      • avatar
        Konto usunięte
        0
        tak bo użytkownik nie może tej opcji włączyć.

        nie żebym był fanem MS, wręcz przeciwnie ale no bez przesady.
        • avatar
          endus
          0
          Jest mnóstwo użytkowników komputerów którzy nawet nie wiedzą co to jest rozszerzenie, nie mówiąc już o tym gdzie należy kliknąć żeby windows to coś pokazywał. Dla niech komputer ma działać jak telewizor. Włączasz, wyłączasz, przełączasz. Koniec kropka. Aktualizacja to jest coś medialnego, coś co wpojono im kiedyś i teraz jak to słyszą to bez zastanawiania się klikają. Niestety, nic na to nie poradzimy. To windows tego nauczył. Miał być prosty i jest prosty. Tak prosty, że aż ogłupia.
          • avatar
            SoundsGreat
            0
            Nieźli są, oby tak dalej ;]
            • avatar
              Konto usunięte
              0
              Z całym szacunkiem dla G Data Software ale zmiana ikony pliku wykonywalnego dla wirusa była już zastosowana baaardzo dawno temu. Sam bym się kiedyś naciął ale miałem włączone pokazywanie rozszerzeń + IconPackanger -> zmiana standardowych ikon. Ciekawe jak szybko ten robal się rozprzestrzenia.
              • avatar
                mgkiler
                0
                "Folder okazuje się plikiem EXE, który został zamaskowany poprzez zmianę ikony pliku wykonywalnego na ikonę folderu. "

                Hehe. Dlatego ja uzywam Total Commandera. Nawet nie pamietam jak wyglada ikona exe.
                :)

                Zamiast patrzec na ikony to sie na rozszerzenia patrzy. Albo nawet na poczatkowe bajty wewnatrz pliku.

                ikony sa dla dzieci
                • avatar
                  XaRaDaS
                  0
                  A wystarczy włączyć sobie autoupdater :D który pobiera tylko od M$
                  • avatar
                    Konto usunięte
                    0
                    Marnować swój talent dla pisania wirusów komputerowych po to tylko aby po wypuszczeniu ich w świat ślinić się nad liczbą zarażonych komputerów?
                    Takich twórców w kazamaty!
                    • avatar
                      Darxis
                      0
                      Maskowanie pliku exe pod ikoną folderu jest tak stare...
                      • avatar
                        Huntcold99
                        0
                        Tamci też nie mają co robić..
                        • avatar
                          Konto usunięte
                          0
                          Nie wiem jak można się złapać na coś takiego. Przecież taki coś z samego założenia wygląda podejrzanie