PandaLabs Direktörü Luis Corrons, saladırıların çok karmaşık olduğunu ve bulaştığı sisteme aynı kodun 19 farklı şeklinin yüklenebileceğini bildiriyor. Koordineli saldırının hedefi bir mail ile dağılıyor. Bu mail şu ana kadar dünya çapında 3 milyondan fazla adrese gönderilmiş durumda.
Corrons “Bu saldırı şu ana kadar görülenlerden çok daha iyi hazırlanmış. Kullanıcılar genelde bizim teknolojimizle herşeyden korunur ama bu şu ana kadar gözlemlediğimiz saldırılar içinde seviyesi en yüksek olanı” diyor.
PandaLabs, bu organize saldırının içerdiği dosyaları yükleyen web sayfasını ve dosyaları host eden firma ile temasa geçtiklerini söyledi.
Zincirin bulaşması için kullanıcının mail ile gönderilen adreste bulunan web sitesini ziyaret etmesi ve sonra Iframe tag kullanan 2 yeni sayfayı açmayı denemesi gerekiyor. Corrons’un dediğine göre, işte bu anda 2 paralel işlem başlıyor.
İlk 2 sayfa açıldığında, bir yanda kullanıcıyı pornografik içeriğin olduğu 6 başka sayfaya yönlendiriyor. Ama aynı anda saldırı işlemi de başlatılıyor. Bu sayfa, Ani/anr and Htmredir hareketlerini yapabilecekleri 2 olası açığı kullanıyorlar.
Sızma hareketi başarılıysa, kullanıcının bilgisayarına şu benzer dosyadan birisini yüklüyor ve çalıştırıyor. Bu dosyalardan birisi web.exe, diğeri win32.exe. Bu dosyalar çalıştığında kullanıcının bilgisayarında 7 dosya yaratıyor. Dosyalardan bir tanesi de kendi kopyası.
Corrons “3 milyondan fazla adrese mailin gönderilmiş olması bile, bu saldırıyı başlatanın başarısının göstergesi. Bu saldırının öncelikli amacı şöhret yaparak finansal kazanç sağlamak. Bu tür virüs yazarları için spam baş gelir kaynağı.” diyor.
SpamNet.A ya da diğer virüslerden korunmak için güvenlik yazılımını güncel tutmak önemli. Corrons “Güvenlik yazılımına sahip olmak kadar, bunu güncel tutmak da önemli. SpamNet.A bilinen açıklardan sızıyor” diyor.
Kaynak : 