Blacklist IP 203.131.78.136 (XAR485849834.exe)


Symantec ha bloggato in precedenza circa lo sfruttamento da parte degli spammer della catastrofica situazione recente in Giappone. Da allora, Symantec ha rilevato ulteriori varianti in attacchi di spam nei quali gli spammer continuano a sfruttare la tragedia, proprio sugli sforzi dei soccorsi ancora in corso in seguito allo tsunami e al terremoto di soccorso sforzi. Simile a quello che abbiamo visto in passato, attacchi di virus sotto forma di messaggi contenenti link a immagini nel corpo del messaggio sono stati osservati nella terza settimana di marzo. Tali attacchi, insieme con e-mail truffa, sono in genere diffuse dopo che si sono verificati tali disastri.


Data: 23-03-2011
Dominio: www.bayantrade.com/XAR485849834.exe
IP: 203.131.78.136
Nome del sistema: INFOCOM-AS-AP INFOCOM Technologies, Inc.
MD5 ThreatExpert Report: 207ef731f3b199637ed1140ff2afef8c

Data: 23-03-2011
Dominio: www.bayantrade.com/XAR485849834.exe
IP: 203.131.78.136
Nome del sistema: INFOCOM-AS-AP INFOCOM Technologies, Inc.
MD5 ThreatExpert Report: d426ffbbdd1180d86f2b7d159c9ce155

Data: 25-03-2011
Dominio: www.bayantrade.com/XAR485849834.exe
IP: 203.131.78.136
Nome del sistema: INFOCOM-AS-AP INFOCOM Technologies, Inc.
MD5 ThreatExpert Report: a7ae2ed755434127dbfe0a741ac02936

Nella schermate è possibile visualizare la zona di attacco malware e l'indirizzo IP collegato alla truffa, adesso rimosso. Si riceve una mail che contiene un link ad un falso video. Una volta che il link viene cliccato, l'utente è invitato a scaricare ed installare un file eseguibile ("XAR485849834.exe") che è collegato ad un malware Trojan bancario brasilianio. Il link per l'immagine hxxp: / /. Xxx trade.com / globo.com.html porta l'utente a scaricare il payload del malware dalla macchina avversaria. Dopo che è stato installato con successo, il malware raccoglie dati bancari degli utenti Internet e altre informazioni sensibili.

Nessun commento:

Posta un commento