Выяснилось, что рассылка производилась IM-червем Zeroll. Бот генерировал разные сообщения в зависимости от языка получателя.
Злоумышленники использовали, как это часто бывает, методы социальной инженерии, предлагая получателям посмотреть картинки с заманчивыми названиями. В конец сообщения добавлялась ссылка на файл Jenny.jpg и аналогичная ссылка на Sexy.jpg.. Причем, страница, на которую ведет ссылка, сама по себе зловредной не является — она содержит предупреждение от Facebook о том, что пользователь покидает сайт. Если же после “l.php?u=” добавить ссылку на произвольный сайт, то по ссылке также откроется окно с предупреждением Facebook. Однако после того, как пользователь нажмет кнопку “продолжить”, он по подставленной ссылке будет перенаправлен на соответствующую страницу. Этим и воспользовались злоумышленники, дополнив легитимную ссылку ссылкой на вредоносный ресурс. Когда браузер переходит на страницу ********.org/Jenny.jpg, ему выдается файл , который может быть запущен на исполнение пользователем. Далее, по тексту, упоминая jenny.jpg и sexy.jpg, будет подразумеваться именно исполняемый файл, упомянутый в предыдущем предложении.
Лаборатория Касперского
Таким образом, в ходе данной спам-рассылки в IM-сообщениях используется не прямая ссылка на вредоносный объект, а ссылка, указывающая на страницу Facebook. Можно сказать, что в данном случае Facebook используется как сервис, аналогичный bit.ly: он позволяет преобразовывать ссылки и переходить на них через собственный домен. В настоящий момент спам-атака Zeroll продолжается. В сообщениях рассылаются ссылки на другие файлы, но с не менее «заманчивыми» именами — “Girls.jpg” и “Marisella.jpg”. И хотя многие знают, что нельзя бездумно переходить по ссылкам, даже если они присланы людьми из контакт-листа, не лишним будет об этом еще раз напомнить.
