Зафиксированы рассылки от имени Wikileaks

Компания Symantec опубликована информацию о двух масштабных спам-рассылках, затрагивающих Wikileaks и его тематику.

В первом случае рассылка направлена на правительственные организации и содержит не публичный и хорошо криптованный вирус. В теле письма дается краткое описание содержимого прикрепленного к письму PDF файла, с названием «WikiLeaks». Для привлечения внимания пользователей, упор делается на то, что там приведены тысячи документов, полученных по секретным каналам правительства США. Однако, в файле содержится зашифрованный и очень хорошо скрытый JavaScript, который при активации расшифровывает, удаляет и активирует исполняемые файлы. При этом, он внедряется в Internet Explorer и отправляет финансовые и приватные данные в зашифрованном виде через 80й порт.

Вторая рассылка спамеров направлена на более широкую аудиторию получателей. Ничего не подозревающие пользователи получают сводку новостей с громкими заголовками типа «Иранская ядерная бомба!» или «Обама – Самозванец!», которая приходит подписчикам с wikileaks@wikileaks.org. Вложение стандартное — лоадер в виде неподписанного Java-апплета. В случае его активации, лоадер загружает на компьютер бэкдор W32.Spyrat. Он дает полный контроль над системой и позволяет выполнять различные действия на компьютере.