15/09-08 - Pressemeddelelse

Informationstyv truer med at lukke din Internet adgang

I løbet af weekenden har mange almindelige brugere og virksomheder modtaget en e-mail som enten truer med at Internet forbindelsen lukkes, eller lokker modtageren med udsigt til en afgift (fee). Sammen med spam mailen følger en vedhæftet fil, pakket i zip. Der er tale om en skadelig informationstyv og downloader i Haxdoor familien. Vi skal advare mod at lade sig lokke til at åbne den vedhæftede fil.

CSIS følger i øjeblikket en bande it-kriminelle som spammer vilkårlige modtagere med uønskede e-mails.

Der anvendes snedig social engineering i forsøget på at lokke modtageren til at åbne den medfølgende vedhæftede fil og antivirus detektion af den skadelige kode er desværre meget begrænset. Denne kombination gør disse spamruns særligt farlige.

Målet med disse spamruns er at skræmme brugeren til at åbne den vedhæftede fil og køre den. Gør man det, lukker man en ondsindet informationstyv ind ad hoveddøren, som kan give komplet adgang til harddisken og opsamle tastetryk fra systemet.

Banden anvender forskellige tricks i deres forsøg på at overbevise modtageren af spammailen om at åbne filen, herunder opsigtsvækkende tekst i emnelinjen som f.eks.: "Your internet access is going to get suspended" og "Statement of fees 2008/09".

Med den skadelig kode følger et rootkit som graver sig ned i maven på systemet og gør den vanskelig at fjerne. Samtidig med det, deaktiverer koden forskellige sikkerhedsfunktioner på maskinen og installerer et falsk og værdiløst antivirus produkt som brugeren skal lokkes til at betale penge for.

Vi har publiceret en teknisk analyse af den skadelige kode på vores webside:
http://www.csis.dk/dk/nyheder/nyheder.asp?tekstID=744