Win32/Kelihos - распространяется через сайт с видеозаписью взрыва


ESET NOD32Специалисты компании ESET обнаружили спам, использующий трагедию в Бостоне для распространения вредоносной программы Win32/Kelihos.

В спам-письмах, рассылаемых злоумышленниками, содержится приглашение просмотреть видео с взрывом во время марафона в Бостоне, для чего пользователю предлагается перейти по ссылке в данном письме. При переходе по данной ссылке пользователь попадает на страницу с видео. Однако, кроме видео на той же странице находится и вредоносный элемент, перенаправляющий пользователей на набор эксплойтов Redkit, при помощи которого на компьютер загружается и устанавливается вредоносная программа - Win32/Kelihos.

Такая скрытая загрузка и установка вредоносного кода на компьютеры жертв, называется drive-by installation. А для установки вредоносной программы через набор эксплойтов, используются незакрытые уязвимости в установленном ПО или в самой операционной системе. Также злоумышленники могут использовать 0-day уязвимости, обновлений для которых еще даже не существует.

Win32/Kelihos способен:

  • похищать персональную информацию пользователя и пересылать ее злоумышленникам;
  • объединять скомпрометированные компьютеры в ботнет.


Взрыв в Бостоне стал лишь хорошей приманкой для увеличения числа зараженных пользователей. Данный инцидент в Бостоне даже использовали для создания якобы от имени организаторов марафона Twitter-аккаунта. По заявлению злоумышленников, за каждый ретвит они будут переводить пострадавшим $1. Также мошенники призвали отправлять средства для помощи жертвам трагедии на их счет. Прежде чем администрация удалила аккаунт, было сделано более 50 тысяч ретвитов.


Обновлено (18.04.2013 15:11)