Elektronikus leveleken keresztül egy olyan trójai program kezdett terjedni, amely a londoni bombatámadás hírének felhasználásával próbálja megtéveszteni a felhasználókat.
Az utóbbi időben több olyan vírus is megjelent, amelyek hírességekkel kapcsolatos érdekességek illetve álhírek révén próbálták megtéveszteni a felhasználókat, és ezáltal elérni, hogy megnyissák a fertőzött emailek mellékletét, vagy rákattintsanak kártékony weboldalakra mutató hivatkozásokra. Néhány vírusíró azonban nem elégedett meg ennyivel, és úgy határoztak, hogy egyik kártékony programjuk minél sikeresebb terjesztése érdekében felhasználják a múlt heti londoni bombatámadás hírét is.
A vírusvédelemmel foglalkozó cégek által felfedezett egyik legújabb, Spexta nevű trójai olyan emailekben terjed, amelyek első ránézésre egy CNN hírlevélnek látszanak. Természetesen ezek a levelek, annak ellenére sem a CNN-től származnak, hogy a feladójukban a breakingnews@cnnonline.com email cím szerepel.
A fertőzött levelekben szereplő üzenet arra kéri a felhasználót, hogy kattintson a mellékletben található amatőr videofelvételt tartalmazó fájlra. Amennyiben a felhasználó erre rákattint, akkor azonnal megfertőződik a számítógépe, amelyet ezt követően a támadók nagyobb mennyiségű email (spam) küldésre használhatnak fel.
A fertőzött levelek az alábbi felépítést követik:
Feladó: breakingnews@cnnonline.com
Tárgy: TERROR HITS LONDON
Fájlnév: London Terror Moovie.avi <124 space> Checked By Norton Antivirus.exe
Amikor Spexta elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
%Windir%\ctflog.exe
%Windir%\explore.exe
%Windir%\inetinfomon.exe
%Windir%\MPM.exe
%Windir%\service.exe
%Windir%\winlog.exe
2. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio n\Run
kulcsához hozzáadja a
“ctflog manager” = “%Windir%\ctflog.exe”
“explore manager” = “%Windir%\explore.exe”
“inetinfomon manager” = “%Windir%\inetinfomon.exe”
“MPM manager” = “%Windir%\MPM.exe”
“service manager” = “%Windir%\service.exe”
“winlog manager” = “%Windir%\winlog.exe” értékeket.
3. A regisztrációs adatbázisban létrehozza az alábbi bejegyzést:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \ExtA
4. Kapcsolódik előre meghatározott weboldalakhoz, ahonnan fájlokat és spamek küldéséhez szükséges utasításokat tölt le.
5. SMTP információkat gyűjt a fertőzött számítógépekről.
6. Az emailek küldéséhez az alábbi domain neveket használja (a feladó email címében):
@yahoo.com
@hotmail.com
@msn.com
@aol.com.