Wiadomość, o której mowa, sprawia wrażenie wysłanej z Microsoftu, ponieważ nosi tytuł „Internet Explorer 7 Downloads”, a w polu „nadawca” widnieje adres: admin@microsoft.com . Dodatkowo hackerzy zastosowali grafikę faktycznie wykorzystywaną do promocji przeglądarki Internet Explorer 7.0, przez co e-mail wygląda jeszcze bardziej realistycznie. Nie dajmy się jednak zwieść. Pod obrazkiem zachęcającym do pobrania wersji beta 2 aplikacji IE7.0 tak naprawdę znajduje się link do pliku ie7.0.exe zainfekowanego nowym robakiem W32/Grum-A.Wszystko to wygląda następująco:
Robak ten infekuje pliki wykonywalne i dołącza się do kluczy rejestru. Następnie kopiuje się do katalogu winlogo.exe i dokonuje kolejnych zmian w rejestrze. Dodatkowo edytuje HOSTS. Wstrzykuje własny wątek w system.dll oraz zmienia pliki kernel32.dll oraz ntdll.dll/
Graham Cluley, starszy konsultant techniczny Sophos, wyjaśnia: „Robaki, takie jak ten, odnoszą sukces jedynie dzięki temu, że wielu ludzi nadal nie nauczyło się podejrzliwości w stosunku do niespodziewanych e-maili, nawet, jeśli przyszły z dobrze znanego źródła takiego jak Microsoft”.
Dodatkowo dziwne powinno się wydawać wypuszczanie wersji testowej aplikacji, która jest już od dawna dostępna na stronach firmy Microsoft.
Jeszcze raz przestrzegamy wszystkich internautów przed podejrzanymi wiadomościami e-mail, a w szczególności przed pobieraniem i próbą uruchamiania zawartych w nich załączników. Dotyczy to także plików zamieszczanych na niesprawdzonych stronach www. Przypominamy także, iż znaki towarowe producenta, którymi opatrzone są przypadkowe witryny i wiadomości, nie są wcale gwarantem legalności umieszczonego tam oprogramowania.
[ źródło: Sophos.com ]
