WebQuatro

Od wczo­raj przy­chodzą do mnie wiado­mości na różne skrzynki pocz­towe — fir­mowe, pry­watne, blo­gowe etc. — z Nasza-klasa.pl, fotka.pl. Co ciekawsze, nie mam zare­je­strowanych kont na tych por­ta­lach na adresy e-mail, gdzie dochodzi spam.
Wygląda to następująco:

Patrząc w źródło wiado­mości, ser­wer nadawcy jest iden­ty­fikowany jako westquad-191–196.reshall.umich.edu, co nie jest raczej ser­wer z Poz­na­nia. Adres zwrotny to info-pid8917@nasza-klasa.pl. Pod ser­wis również się pod­szy­wają zagraniczni spamerzy.

Czyżby pol­skie ser­wisy stały się na tyle znane już zagranicą jak e-bay.com czy e-bay.de, z którego to również często przy­chodzą fake’owe wiadomości?

Po kliknię­ciu w link osoby prze­nie­siony zostałem na kole­jną pod­szy­wa­jącą się stroną lub też stroną fotki ze zmienionymi linkami:

Każdy link oprócz radia kieruję do niewiadomego pochodzenia pliku .exe o nazwie get_new_flashplayer, np. http://www5.fotka.pl.domain8.us/profil/get_new_flashplayer.exe. Jest to najprawdzi­wszy Mal­ware, Agent Q.gen o nazwie Eldo­rado.  Dan­cho Danchev na swoim blogu opisuje iden­ty­czną sytu­ację z Yahoo! — do użytkown­ików przy­chodzą e-maile z pozdrowieni­ami. Cytuję szczegółowy opis tro­jana (za Dan­cho Danchev):

“Backdoor.Agent.AJU is a mali­cious back­door tro­jan that is capa­ble to run and open ran­dom TCP port in a mul­ti­ple instances attempt­ing to con­nect to its pre­de­fined pub­lic SMTP servers. It then spams itself in email with a file attached in zip and pass­word pro­tected for­mat. Fur­ther­more, the pass­word is included in the body of the email.”

Uważa­jmy zatem na pode­jrzane e-mail’e ze wszys­t­kich więk­szych serwisów.