Die neuesten Informationen zu GpCode

Wir haben weitere Untersuchungen angestellt, um die Quelle des Erpresserviruses GpCode ausfindig zu machen, der derzeit im russischen Internet sein Unwesen treibt.

Unsere Nachforschungen zeigen, dass sich der Virus folgendermaßen verbreitet:

1. Wie wir schon im Vorfeld gedacht hatten, gelangt er über Spammail auf die Rechner seiner Opfer. Das erste Massenmailing fand am 26. Mai 2006 statt, als tausende, russische User E-Mails mit folgendem Inhalt bekamen:

Hello <Name des Empfängers>!

We are writing to you regarding the resume you have posted on the job.ru website. I have a vacancy that is suitable for you.
ADC Marketing LTD (UK) is opening an office in Moscow and I am searching for appropriate candidates. I will soon be asking
you to come in for an interview at a mutually convenient time.

If you are interested in my offer, please fill out the attached form related to compensation issues and email the results to me.

Sincerely,
Viktor Pavlov
HR manager

[oben stehender Text ist aus dem Russischen übersetzt]

Als Mailanhang fand sich die MS-Word-Datei ‚anketa.doc‘ (Anekta ist russisch für ‚Bewerbungsformular‘) – und in dieser Datei der Trojan-Dropper.MSWord.Tored.a.

2. Sobald ein Empfänger diese Datei öffnete, wurde durch ein bösartiges Makro ein anderer Trojaner auf dem System installiert – Trojan-Downloader.Win32.Small.crb.

3. Dieser Trojaner wiederum hatte die Aufgabe, den eigentlichen GpCode von einer Webadresse herunterzuladen – [skip].msk.ru/services.txt.

Innherhalb weniger Tage folgten weitere Massenmailings nach diesem Muster. Dabei wurden die GpCode-Varianten geändert, die URL blieb jedoch gleich.

Kaspersky Lab arbeitet zur Zeit daran, diese Seite vom Netz nehmen zu lassen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.