A Messengeren kopogtatnak című postra reagált kedves olvasónk, és egy ropogós, friss trójai támadásáról készült képernyőképpel örvendeztetett meg minket. A sejtetett 18+ tartalom helyett persze egy backdoor trójai található a ZIP csomagban. Nekünk a fájlnév alapján Wagner B. György nagysikerű könyve, a "Sarah bugyiban - avagy a hazug embert hamarabb utólérni, ha sánta" című nagysikerű műve ugrott be szabad asszociációként - ezt jószívvel ajánljuk mindenkinek lazításképpen vagy csak úgy,  látókörtágítás-ügyileg ;-)


A megjelölt weboldal egy már évek óta ténykedő legális fórumoldal, tehát nem egy kifejezetten kártevők terjesztésére szakosodott tiszavirág életű weblap kísérel megmerényelni bennünket.


Az Egyesült Államokban üzemeltettett oldal bejegyzési adatai és körülményei is  tisztának látszanak.


Ennek ellenére az a bizonyos állomány még mindig elérhető a megjelölt helyről, de szerencsére vírusirtónk a résen volt. VÍRUSIRTÓ NÉLKÜL senki ne próbálkozzon!


Hogy egyáltalán letölthessük, ideiglenesen kikapcsoljuk és megnézzük közelebbről. A "sarah.zip" esetünkben egy "IMG_8783.scr" kiterjesztésű, azaz képernyő védő futtatható állományt rejt magában, a futtatható kód EXE fejléccel rendelkezik és gyaníthatóan Morphine típusú packer segítségével van összetömörítve. Itt már kevés jóindulatot sejthetünk, hiszen a trükkös exepackerek nem csak a kisebb méret okán használatosak, hanem segítségükkel igyekeznek a gyanús kódokat leplezni, illetve a visszafejtésüket nehezíteni.






A táblázat alján a Prevx kínál bővebb információt, ebben elég részletesen írnak róla. Spanyolországban és Magyarországon észlelték, legtöbbször WKSSVR.EXE néven bukkant fel és képes processzeket eltéríteni a memóriában, HTTP prokollon keresztül képes másik számítógéppel kommunikálni, és hasonlók, íme itt a részletes lista:


Az azonnali üzenetküldő programok egyre inkább közkedvelt támadási célpontok a vírusírók számára, mivel a felhasználók általában gyanútlanok a kapcsolataikkal szemben, akik gyakran barátok, vagy közeli ismerősök, kollégák. Ezáltal könnyebben fogadnak el tőlük fájlokat, linkeket, hiszen azok nem idegentől, ismeretlen forrásból, hanem egy megbízhatónak vélt személytől érkeznek. Ne tegyük!