WebQuatro

Od wczoraj przychodzą do mnie wiadomości na różne skrzynki pocztowe – firmowe, prywatne, blogowe etc. – z Nasza-klasa.pl, fotka.pl. Co ciekawsze, nie mam zarejestrowanych kont na tych portalach na adresy e-mail, gdzie dochodzi spam.
Wygląda to następująco:

Patrząc w źródło wiadomości, serwer nadawcy jest identyfikowany jako westquad-191-196.reshall.umich.edu, co nie jest raczej serwer z Poznania. Adres zwrotny to info-pid8917@nasza-klasa.pl. Pod serwis również się podszywają zagraniczni spamerzy.

Czyżby polskie serwisy stały się na tyle znane już zagranicą jak e-bay.com czy e-bay.de, z którego to również często przychodzą fake’owe wiadomości?

Po kliknięciu w link osoby przeniesiony zostałem na kolejną podszywającą się stroną lub też stroną fotki ze zmienionymi linkami:

Każdy link oprócz radia kieruję do niewiadomego pochodzenia pliku .exe o nazwie get_new_flashplayer, np. http://www5.fotka.pl.domain8.us/profil/get_new_flashplayer.exe. Jest to najprawdziwszy Malware, Agent Q.gen o nazwie Eldorado.  Dancho Danchev na swoim blogu opisuje identyczną sytuację z Yahoo! – do użytkowników przychodzą e-maile z pozdrowieniami. Cytuję szczegółowy opis trojana (za Dancho Danchev):

“Backdoor.Agent.AJU is a malicious backdoor trojan that is capable to run and open random TCP port in a multiple instances attempting to connect to its predefined public SMTP servers. It then spams itself in email with a file attached in zip and password protected format. Furthermore, the password is included in the body of the email.”

Uważajmy zatem na podejrzane e-mail’e ze wszystkich większych serwisów.