Вкусный спам: следите за вложениями

Большинство из нас теперь знают, что если вы видите файл с расширением.exe в качестве вложения электронной почты, то этот файл бесполезен, и вы не должны нажимать на него. Но файлы.exe не единственные, на которые стоит обратить внимание. Cloudmark указывает на другие расширения файлов, которые могут использовать плохие парни.

«Мы видим, как спаммеры пытаются использовать разные имена исполняемых файлов, пытаясь обмануть ничего не подозревающих пользователей при установке вредоносного ПО», - говорится в последнем отчете Tasty Spam..Exe может быть сжат в архив.zip или.rar, чтобы обойти некоторые антиспамовые и антивирусные программы. Исследователи Cloudmark также недавно видели архив.arj, устаревший формат. Файл.zip может содержать файл.scr, который обозначает экранную заставку Windows. Это считается специальным типом исполняемого файла Windows.

Спамеры также используют файлы с расширением.com. В настоящее время файлы.com используются редко, потому что размер исполняемого файла ограничен 64 КБ. Тем не менее, он достаточно большой, чтобы загружать вредоносные программы. Для многих жертв расширение файла.com может выглядеть как URL в URL. «Пользователь, обманутый двойным щелчком мыши по файлу www.mywebsite.com, может устанавливать троян, а не переходить по ссылке», - сказал Cloudmark.

Следующее спам-сообщение, предназначенное для бразильских пользователей, содержит ссылку для сокращения URL, которая загружает файл.ZIP на компьютер жертвы. Архив содержит файл.cpl, который обозначает панель управления Windows и является типом исполняемого файла.

В Cloudmark недавно появились спам-кампании, распространяющие банковские трояны, скрытые в файлах.scr и.cpl.

Спаммеры также создают аналогичные домены и поддельные сайты, чтобы обманным путем заставить жертву загружать вредоносные программы. Следующее сообщение появляется на сайте Bitcoin, Multibit. Внимательное изучение ссылки показывает, что на самом деле она немного освещена . Перевернутые буквы достаточно тонкие, чтобы большинство пользователей не заметили, и целевая страница выглядит законной. Эта кампания обманом подтолкнула пользователей к загрузке файлов Java.JAR с сайта. Многие пользователи удалили Java со своих компьютеров, но на их компьютерах все еще достаточно людей с установленной Java Runtime Environment. Авторы вредоносных программ продолжают использовать Java только по этой причине.

И, наконец, недавний штамм вымогателей, предназначенный для итальянских пользователей электронной почты, спрятал файлы.exe, используя имена файлов, которые выглядят следующим образом: Document_Pdf________________.exe "Если вы пропустите.EXE после подчеркивания и попытаетесь открыть PDF-файл, вы найдете все свои файлы. файлы зашифрованы и требуют выкуп на вашем экране ", сказал Cloudmark.