安全厂商MX Labs证实,一则伪装成“Facebook密码重设确认函”的电子邮件包藏祸心,附件内含变种的Bredolab木马程序。
该公司说,部分使用者收到由The Facebook Team寄来的电子邮件,寄件者的电邮地址显示为"service@Facebook.com",但其实电邮地址与寄件者都是假造的。
MX Labs发现,这则电子邮件含有附件,文件名是"Facebook_Password_4cf91.zip",内含"Facebook_Password_4cf91.exe"可执行文件,电邮声称附件中内含使用者的新Facebook帐户密码。MX Labs指出,在"_"与".zip"之间的是为每一收件人随机挑选的字母与数字串。
该附件一旦被使用者下载,就可能在电脑上作乱。MX Labs在一篇博客文章中指出,Bredolab木马程序“执行从网络上撷取的文件,例如恶意反间谍程序(rogue anti-spyware)。为了绕过防火墙,它会把自己的程序代码注入合法的svchost.exe和explorer.exe程序里。Bredolab内含anti-sandbox程序代码(一旦某外部程序侦察其行动,这个木马程序就可能自动退出)」。换言之,它很难缠。
MX Labs说,Bredolab木马程序钻入使用者的PC后,就会在系统文件内建立"%AppData%wiaservg.log"和"%Programs%Startupisqsys32.exe",并且会建立两个新的程序,称为"isqsys32.exe"和"svchost.exe"。
另一安全厂商M86 Security指出,当Bredolab木马程序闯入使用者的电脑后,就会下载称为"Pushdo"的bot程序。该公司发现,Pushdo会立刻“大量散发更多Facebook密码重设电邮”。
Facebook已立即发布声明,提醒使用者注意,这些电子邮件内含病毒,并不是该社交网络所寄发的。
Facebook发言人说:“这病毒通过电子邮件散布,而这则电邮伪装成Facebook密码重设电邮,另有附件,宣称内含的是新密码,但实际上却是病毒。我们已通过Facebook安全网页,指示使用者如何辨别。”
Facebook还说,使用者“对自称是Facebook意外传来的电子邮件应存疑”,并强调该公司绝不会以附件形式寄新密码给使用者。
网友评论