Læs også:
Dansk sikkerhedsfirma misbruges i spam-kampagne
Storbank hives nu med i avanceret net-angreb
Først var det sikkerhedsfirmaet CSIS. Så var det banken Nordea, og nu er turen kommet til sikkerhedsfirmaet Bullguard.
Alle tre firmaer er blevet revet med i et spam-run, der har hærget Danmark siden onsdag morgen.
Metoden er helt den samme. Denne gang indeholder den nye spam-mail et tilbud om et års gratis abonnement på Bullguards tjenester.
Mailen kommer fra en forfalsket adresse og med følgende indhold:
Emnelinje: Bullguard i 1 år gratis
Hej.
Du har mulighed for at få bullguard.com (anti-virus), gratis i 1 år.
Du kan hente det gratis her
(URL fjernet af redaktionen)
Venlig hilsen
Bullguard.com
Teknisk analyse
Som i de to forrige tilfælde ligger den skadelige fil hos Dropbox.
Hvis filen accepteres og installeres af en bruger, modificerer den registreringsdatabasen med en såkaldt runas-værdi, der bevirker, at koden køres efter en genstart af maskinen.
Filen opretter to processer henholdsvis "razer.exe" og "kN3d3.exe", som afvikles fra Windows' temporære mappe.
Denne variant ringer hjem til en fast IP-adresse på 94.145.120.154, som også hoster websiden.
IP-adressen er knyttet til Cybercity i Odense, men er antagelig en inficeret maskine, der kontrolleres af de personer, som står bag angrebene.
Den skadelige kode fanges endnu ikke af antivirus-programmerne.
