By	:	admin
Posted On	:	Jum`at, 30 Oktober 2009 10:55:14
View	:	547 Times

Sebuah varian Trojan horse baru bernama Bredolab
telah dimasukkan dalam email palsu "Facebook
Password Reset Confirmation", menurut report dari
perusahaan MX Labs. Beberapa user telah menerima email
dari "The Facebook Team”, dan alamat email
pengirim tertampil dari service@facebook.com. Namun,
faktanya alamat email dan nama pengirim adalah
palsu.

MX Labs menemukan bahwa email tersebut
memiliki attachment
"Facebook_Password_4cf91.zip” dan
“Facebook_Password_4cf91.exe", yang diklaim
dalam email tersebut mengandung password Facebook baru.
Perusahaan keamanan MX Labs mengatakan elemet angka
antara zip dan garis bawah dirangkai secara acak.

Ketika user men-download file tersebut, MX
Labs menjelaskan bahwa Trojan Bredolab akan
mengeksekusi file dari Internet, seperti anti-spyware
palsu. Untuk melewati firewall, maka Trojan itu akan
menginjeksi kodenya melalui proses sah svchost.exe dan
explorer.exe. Bredolab mengandung kode anti-sandbox dan
akan membuat file "%AppData%\wiaservg.log"
dan "%Programs%\Startup\isqsys32.exe" di
system user. Bredolab juga akan membuat 2 proses
bernama "isqsys32.exe" dan
"svchost.exe."

Namun, email palsu
tersebut bukan berasal dari Facebook, tetapi hanya
langsung didistribusikan melalui email. “Email
tersebut dikirim sebagai reset password email Facebook
dengan attachment yang diklaim mengandung password
padahal virus. Facebook tidak perbah mengirim user
password baru sebagai attachment. User yang telah
men-download file tersebut sebaiknya menggunakan
software anti-malware untuk menghapusnya.” ungkap
pihak Facebook.

 Send |  Print