«Лаборатория Касперского» выявила рассылку фиктивных счетов на оплату, содержащих вирус

Специалисты «Лаборатории Касперского» обнаружили массовую рассылку почтовых сообщений, содержащих одно и тоже вложение в формате PDF, однако отправленных с разных электронных адресов. На данный момент наибольшая активность наблюдается в Германии.

Имена вложенных PDF-файлов имеют форму «Mahnung имя получателя.pdf» (Mahnung по-немецки означает «напоминание» или «требование об уплате долга»). Эти вредоносные файлы содержат эксплойт для уязвимости CVE-2010-0188 (Adobe Acrobat libtiff Remote Code Execution Vulnerability). Они были заблокированы с помощью технологии Kaspersky ZETA Shield и детектировались как Exploit.JS.CVE-2010-0188.e. Эксплойт обнаружить непросто, поскольку он спрятан под двумя слоями JavaScript.

Второй слой очень похож на JavaScript, который использовали обнаруженные в прошлом году эксплойты, входящие в набор BlackHole. При успешном срабатывании эксплойта загружается исполняемый файл с адреса seodirect-proxy.com/adobe-update.exe.

Загруженная вредоносная программа детектируется продуктами «Лаборатории Касперского» как Trojan.Win32.Yakes.cngh. При запуске вредоносная программа выдает сообщение об ошибке, а затем устанавливается в папку temp под случайно выбранным именем (например, vlsnekunrn.pre) и пытается установить соединение с zeouk-gt.com.

В прошлом подобные рассылки также фиксировались, причем приходились они на 4 или 21 число. По всей видимости, это прекрасно организованная кампания, которая будет продолжаться и дальше. Поэтому будьте особенно осторожны с подобными письмами, особенно в указанные числа месяца.