Firma Kaspersky Lab poinformowała o wykryciu robaka Zeroll, który przeprowadza masowe wysyłki niebezpiecznych wiadomości za pośrednictwem różnych komunikatorów internetowych. Cyberprzestępcy użyli socjotechniki i wizerunku Facebooka, aby nakłonić użytkowników do klikania niebezpiecznych odsyłaczy i pobierania szkodliwych programów.
Robak Zeroll stoi za wysyłkami generowanego przez bota wiadomości, które różnią się językiem w zależności od odbiorcy, np.: "Wie findest du das Foto?", "seen this?? :D %s", "This is the funniest photo ever!", "bekijk deze foto :D", "uita-te la aceasta fotografie :D".
Cyberprzestępcy wykorzystali socjotechnikę, zachęcając użytkowników do obejrzenia zdjęć o kuszących nazwach. Na końcu wiadomości znajduje się odsyłacz, taki jak http://www.facebook.com/l.php?u=********.org/Jenny.jpg. Oprócz odsyłacza do pliku Jenny.jpg wiadomości zawierały również podobne odsyłacze do Sexy.jpg. Strona, do której prowadzi odsyłacz w rzeczywistości nie jest szkodliwa – zawiera ostrzeżenie z Facebooka informujące użytkownika, że opuszcza stronę.
Jeżeli użytkownik kliknie przycisk "Continue", odsyłacz zaprowadzi go na zainfekowaną stronę. Cyberprzestępcy wykorzystali ten mechanizm, aby szkodliwy odsyłacz wyglądał na całkowicie bezpieczny. Użytkownik zostanie przekierowany na adres ********.org/Jenny.jpg, który z kolei prowadzi do zainfekowanego pliku PIC1274214241-JPG-www.facebook.com.exe. W efekcie szkodliwy program jest instalowany i uruchamiany na komputerze niczego niepodejrzewającego użytkownika. To samo dzieje się w przypadku próby obejrzenia obrazka Sexy.jpg.
Analiza szkodników, do których prowadzą "obrazki" Jenny.jpg oraz Sexy.jpg wykazała, że są to typowe downloadery, czyli aplikacje pobierające na zainfekowany komputer inne niebezpieczne programy. W tym przypadku pobierany jest plik srce.exe.
Fragment szkodliwego kodu
Aby użytkownik niczego nie podejrzewał, downloadery otwierają również obiecywane w pierwotnej wiadomości spamowej zdjęcie, które jest pobierane z internetu.
srce.exe jest aplikacją pobierającą robaka IM-Worm.Win32.XorBot.a, który wykorzystuje komunikator Yahoo Messenger w celu wysyłania kolejnych zainfekowanych wiadomości użytkownikom.
"Robak Zeroll nadal aktywnie rozsyła spam. Wiadomości zawierają odsyłacze do różnych plików, jednak wszystkie mają podobne, dość jednoznacznie kojarzące się nazwy, takie jak Girls.jpg czy Marisella.jpg. Chociaż większość osób wie, że nie powinno się klikać dziwnych odsyłaczy, nawet jeśli zostały wysłane przez kogoś z ich listy kontaktów, warto przypomnieć o tym jeszcze raz. Niestety, cyberprzestępcom nie można odmówić kreatywności, czego dowodem jest spam rozsyłany przez robaka Zeroll" - powiedział Wiaczesław Zakorzewski, analityk zagrożeń z Kaspersky Lab.
