Microsoft jobber med å rette feilene med Messenger i dag.

Annonse


Telenor: – Pass deg for farlig Messenger-trojaner

Telenors sikkerhetsblogg advarer mot en ny farlig Messenger-trojaner som kobler seg til IRC.

Ny farlig trojaner

Distribusjonsmåten er gammel, men trojaneren er ny. En melding spretter opp på Messenger. Meldingen ber deg om å laste ned en fil som lurer brukeren til å tro at den er fra Facebook, men i virkeligheten er adressen hxxp://www.facebook-c.com. Denne driftes for tiden av Yahoo som nok kommer til å fjerne tilgang innen kort tid.

I filen som skjuler seg som en .jpg-bildefil ligger trojaneren som kobler seg opp til IRC-serveren buri.burimche.net på port 1234 (TCP). Ifølge sikkerhetsbloggen til Telenor er denne IRC-serveren fortsatt aktiv og gir bakmennene full kontroll over PCen din via chatteplattformen IRC (Internet Relay Chat).

Farlige winmbu.exe

Ifølge Telenor har trojaneren mulighet til følgende:

Annonse


* Kommunikasjon med C&C over IRC-protokollen
* Sending av meldinger via MSN Messenger og Yahoo Messenger
* Nedlasting og eksekvering av vilkårlige filer

«Trojaneren installerer seg under c:windowswinmbu.exe (skjult med vanlige fil-attributer), legger seg inn i FirewallPolicy som autorisert applikasjon og sørger for automatisk start ved å legge seg inn under HKLM[..]WinlogonUserinit», skriver Telenor.

Telenor opplyse om at trojaneren kan tas med 13 av 41 antivirusprodukter.

Kilde:
Telenorsoc

Annonse