Agent.JEN – szpiegujący trojan

Niedawno wykryto serię fałszywych wiadomości email, które krążą w sieci i rozprzestrzeniają trojana o nazwie Agent.JEN. Wiadomości rzekomo pochodzą od firmy kurierskiej UPS i zawierają temat: “UPS packet N3621583925”.

Trojan Agent.JEN po przedostaniu się do komputera jest w stanie przygotować, a następnie wysłać zrzuty z ekranu ofiary, czy też wykraść poufne dane.

W treści emaila znajduje się informacja o braku możliwości dostarczenia przesyłki oraz zalecenie wydrukowania kopii załączonej faktury. Załącznik to plik “zip” , który zawiera wykonywalny plik Worda o nazwie “UPS_invoice”. Po otworzeniu dokumentu malware instaluje się w komputerze.

Atakujący Windows złośliwy kod przedostaje się do systemu i zmienia plik Userinit.exe, który uruchamia przeglądarkę Internet Explorer, interfejs systemu i inne podstawowe procesy. Aby umożliwić dalszą prawidłową pracę komputera i uniknąć podejrzeń o infekcji ze strony użytkownika, trojan kopiuje plik systemowy do innego miejsca pod nazwą userini.exe. “Ten atak to potwierdzenie panującego trendu: cyberprzestępcy działają z ukrycia, bowiem nie są zainteresowani sławą i rozgłosem, ale uzyskaniem finansowych korzyści” - mówi Maciej Sobianek, specjalista ds. bezpieczeństwa firmy Panda Security Polska.

Ostatecznie, Agent.JEN nawiązuje połączenie z rosyjską domeną, wykorzystywaną już przez niektóre trojany bankowe. Stamtąd użytkownik przekierowywany jest na domenę niemiecką, w celu pobrania rootkita i programu typu adware, wykrytych przez PandaLabs jako Rootkit/Agent.JEP i Adware/AntivirusXP2008. To z kolei zwiększa ryzyko dalszych infekcji.

źródło: Informacja prasowa