MSN Messenger pode ser utilizado como isca em spam nocivo

Uma nova isca de spam nocivo utiliza a ameaça de um vírus para incentivar usuários a utilizarem um Trojan malicioso. A descoberta é da rede Websense Securioty Labs(TM) ThreatSeeker(TM)

A mensagem explica que ao baixar a aplicação através do link no email, o usuário poderá proteger-se contra um vírus que distribui mensagens de spam para seus contatos. O email oferece uma atualização para Live Messenger Plus - que é na realidade um Trojan (identificação md5: 5F1D2521F6949F8B71B9FF93C17A8BE2). A detecção por antivírus é baixa.

As URLs fornecidas no email redirecionam os usuários para um software de download com nome dsc.scr. Para distrair o usuário, uma caixa de diálogo é mostrada explicando que ele será redirecionado para msn.com.br. Uma janela de navegador é aberta e aponta para este site. O programa de download primeiro contacta hxxp://*snip*ario.com/games_06.jpg, e depois hxxp://*snip*ario.com/games_04.jpg, acrescentando dois arquivos ao diretório raiz do disco C: .

Uma tarefa agendada é criada e são feitas modificações no arquivo autoexec.bat para desabilitar o GBPlugin e outras ferramentas criadas por bancos brasileiros para proteger contra keyloggers (gravadores de teclado) e outros programas nocivos. O malware então prossegue, para realizar atividades de roubo de informação.

Os clientes dos serviços Websense Messaging e Websense Web Security estão protegidos deste ataque.