Banker.FJI是种木马,它在用户访问某些巴西银行站点(比如Banco do Brasil, Bradesco或者Itau)时,会显示伪造的登陆窗口。用户在伪造页面输入账户信息,或者在被木马监视的合法页面输入账户信息后,那些数据就被输入到一个文本文档中然后发送给木马的作者。它还能监视在访问与Banco do Brasil相关站点所产生的网络传输信息。
Banker.FJI不能自动传播,因此攻击者得自己散播该木马。散播木马的方法有很多,包括软盘,CD-ROM,带附件的电子邮件,网络下载,通过FTP,IRC通道,P2P文件共享网络传输的文件等等。
用户很容易就可以识别该木马的中毒现象,计算机一感染该病毒就会在屏幕上显示一则消息。
蠕虫
Foamer.A是种蠕虫,它试图连接到某个网页以便下载包括恶意软件在内的所有文件。该蠕虫的另一特点是,它会使系统任务管理器和注册表编辑器失效,并且会给蠕虫作者发送邮件,通知其感染计算机的一些信息,例如用户名和计算机名。
另一方面,如果用户打开CMD控制台,Foamer.A会清空窗口,显示消息为“THE WORLD-WIDE DONT ACCEPT COMMAND PROMPT!!!!(全世界都不接受COMMAND命令)”然后自动关闭窗口。
Foamer.A通过网络传播。由于该蠕虫不会显示任何信息或者警告来告诉用户它的存在,所以用户不仔细注意的话,很难发现它。
最后,Spamta.NB是个电子邮件蠕虫,它主要的目的是传播叫做SpamtaLoad.BL的木马。它通过在邮件中附带含有该木马的附件来达到传播的目的。
这些邮件的主题和正文各有不同,含有SpamtaLoad.BL的附件名称也是多种多样。该木马会把Spamta.NB下载到系统中,以便使感染的计算机能继续传播该木马。
垃圾邮件
Sophos提醒用户注意,又出现了一种新的垃圾邮件,邮件声称为用户提供免费的暧昧图片以及视频,以便诱使用户下载恶意特洛伊木马。Sophos说,邮件中普遍使用了一个连接到Psyme-DL Trojan的网址链接,邮件主题各有不同,但都包含了“免费”和“色情”字样。
每封邮件都有一句话和一个链接是链接到恶意文件的。一旦用户点击了链接,就会看到可选的免费内容列表,而木马则会自动加载到受害计算机中。Sophos的专家提醒用户注意,Psyme-DL Trojan利用的是微软IE的漏洞,如果用户是使用Firefox访问该链接,系统会有显示一条消息要求用户切换浏览器。
“尽管用户已经听了无数的关于如何安全地使用计算机、如何安全上网的警告,但有些用户还是无法抗拒带有暧昧标题的邮件,” Sophos的高级安全顾问Carole Theriault说。“通过与那些以为免费得到了色情内容的用户计算机交互,恶意软件导致了受害者非常尴尬地发现他们所蒙受的损失。Psyme-DL的作者可能本来并没有想羞辱用户,而只是想控制用户的计算机以便进行间谍,偷窃活动或者导致计算机崩溃。”
