Спамерите използват Бурния червей за повече pdf спам
Категория: Информационна Сигурност
Ася Георгиева
24.7.2007
Бурният червей създава pdf файлове, за да заобиколи откриването си от антивирусни програми и подвежда служителите с електронни писма, които изглеждат като бизнес съобщения, според изследователите от лабораториите по сигурност на съобщенията.
Тенденцията към изпращане на pdf значително е намалила количеството спам с изображения, но файловият формат pdf, който широко се използва от бизнеса, принуждава производителите на филтри за спам бързо да развият технология, която да различава pdf спам файл от истински pdf файл.
Макар че новите електронни писма носят спам файлове под формата на реклама, те биха могли да се развият и доставят злонамерен код, съдържащ включително ботове, заяви Мат Сърджант, старши антиспам технолог в Британската лаборатория по съобщения. Зловредният код също може да бъде директно инсталиран в компютъра на жертвата.
„Това е нещо ново, което ще бъде добре наблюдавано, казва още г-н Сърджант. Спамерите винаги се интересуват от разширяването на техните бот-мрежи, така че това би било нещо, което биха пробвали в близко бъдеще”
Бурният червей понастоящем съставя около 30% от общия спам. От януари месец троянският кон е активно разпространяван главно с електронни съобщения, използващи безпокойство за сериозните бури в Европа чрез голямо разнообразие от фалшиви заглавия на новини, написани в графата за заглавие на електронното писмо. Финландската антивирусна компания F-Secure Corporation заяви, че троянският кон е започнал да използва техники от метода “кернел руткит”, за да скрива файловете си, разпространяващи ботове, регистрационни ключове и активни мрежови връзки.
Също така отскоро Бурният червей неточно се представя като поздравителна картичка, изпратена от членове на семейството, за да измами потребителя да натисне върху зловредни URL в нвговите електронни съобщения. По време на Денят на независимостта, същите ботове са разпространявани под формата на патриотични съобщения, за да може повече компютри да бъдат инфектирани.
Други търговци на продукти за сигурност са открили нова модификация на Бурния червей. Symantec докладва намаляване на спам с изображение през юни. От Symantec съобщиха, че най-широко разпространения pdf спам, открит през месец юни, е за изкуствено намаляване и качване на акции на борсата. След отваряне на pdf файла, се показва борсово обозначение и някакъв текст, посочващ, че това е продуктът за покупка.
Увеличаващото се присъствие на зловредния код допринася за огромното разпространение на спам чрез изображение, който успешно заобикаля много спам филтри, добавя Сърджант. „Наблюдаваме много бързи промени от точно определения му режим на работа и способността му моментално да променя предназначението си.” Голяма част от бот мрежите сега се насочват към pdf.
Сърджант добави, че IT професионалистите трябва да бъдат сигурни, че филтрите им за спам имат pdf възможности и да информират работодателите да бъдат подозрителни към pdf файлове, изпратени от непознати податели.
Някой настоящи програми за филтриране на pdf могат да разпознаят pdf бот файлове, като проверяват кода в самия файл, за да определят структурата на файла и как е бил създаден. Изследователите сега се опитват да разработят по-добра програма за елиминиране на pdf спам, казва още Сърджант.