Trojan-IM.Win32.Agent.ae este un cal troian care simuleaza dialogul cu o persoana existenta în lista de Messenger a utilizatorului infectat, îndemnându-l sa acceseze un anumit link.
Website-ul indicat în link-ul primit directioneaza utilizatorul catre un blog aparent onest, nu catre un fisier executabil, care ar putea fi suspectat ca fiind malware. Odata ajuns pe blog-ul respectiv, vizitatorul este rugat sa descarce un „codec” sau „plug-in” special pentru a vedea continutul video publicat pe acel site. Bineînteles, fisierul descarcat nu este altceva decât un virus.
„Acesta este un exemplu al unei adevarate strategii de inginerie sociala”, spune Stefan Tanase, Senior Researcher Kaspersky Lab. „Mesajele vin de la unul dintre prietenii pe care îi avem în lista de Messenger, pe linii de text diferite, imitând perfect o conversatie reala. Majoritatea dintre noi avem încredere în persoanele cu care interactionam zilnic online, de aceea nu le suspectam ca ar putea avea intentii malitioase. Astfel se explica si numarul mare de accesari ale link-ului respectiv, si cele peste 10.000 de download-uri ale falsului codec în mai putin de 24 de ore, conform statisticilor de pe www.fisier.ro”, completeaza Tanase.
Kaspersky Lab a adaugat în baza de date cu semnaturi detectia pentru Trojan-IM.Win32.Agent.ae, a blocat adresele URL ale blog-urilor respective, a notificat www.blogspot.com si www.fisier.ro despre atacuri, iar în momentul de fata niciun website utilizat de infractorii cibernetici nu mai este functional.
Pâna la momentul actual, atacurile informatice prin Yahoo! Messenger utilizau numai fraze în limbi straine, redactate pe o singura linie text. Însa, aceasta metoda nu s-a dovedit a fi la fel de eficienta ca cea identificata acum, deoarece utilizatorii ignorau majoritatea mesajelor primite.
