Gümrük bildirisi içinde bir backdoor

[Link]

Avira, gümrük servisinden gelen sahte mail için uyarıyor: Güncel olarak gövde içinde internet kullanıcılarının posta kutularına gönderiliyor ve Gümrük'teki paketinizi için bilgi veriyor. Ancak kullanıcı ilgili formu açacağına, bir Truva Atına kapı açıyor ve bilgisayar ele geçirilmiş oluyor. Spam mail şu başlığı taşıyor "Paket talep bildirisi". E-mail alıcıya ekteki formu doldurmasına ikna ediyor: "Good day, We have received a parcel for you, sent from France on July 9. Please fill out the customs declaration attached to this message and send it to us by mail or fax. The address and the fax number are at the bottom of the declaration form. Kind regards, Lucinda Addison Your Customs Service" "İyi günler, Sizin için bir paket teslim aldık, 9 Temmuz'da Fransa'dan gönderilmiş. Lütfen ekteki gümrük talep bildiri formunu doldurun ve e-mail veya fax ile bize gönderin. Adres ve fax numarası formun altındadır. Saygılarımızla, Lucinda Addison Gümrük Servisiniz" E-mailin dosya ekinin adı Bill-Tax.zip. Arşiv "Bill_Tax ___________________________N89798742344.exe" dosyasını içeriyor. Windows dosyayı word dosyası olarak gösteriyor, bu virüs için mükemmel bir kamuflaj. Malware, Avira tarafından Tr/Spy.ZBot.dkx olarak tanımlandı, Windows dizinde kendini ntos.exe adı altında kopyalıyor. Sistem başladıktan sonra root işlevlerinde saklanıyor ve Windows sistem dosyası winlogin.exe içine bir kod enjekte ediyor. TR/Dldr.Agent.xft olarak tanımlandı.

Kaynak: Gümrük bildirisi içinde bir backdoor