Facebook IPO成為"預(yù)付款詐騙"新噱頭

　　這起IPO備受矚目，所以它難以逃脫“預(yù)付款欺詐”(又名“419”)騙子的注意。簡單介紹一下，在這類騙局中，騙子通常會承諾支付一大筆錢，以換取受騙者的幫助。然而，在支付一大筆錢之前，騙子會以越來越有“創(chuàng)意”的理由收取多項預(yù)付費用。騙子不斷收取預(yù)付費用，卻從不兌現(xiàn)所承諾的錢。

　　互聯(lián)網(wǎng)疫情通報

　　我們最近發(fā)現(xiàn)一種標(biāo)題為“FACEBOOK (IPO) SUBSCRIPTION PARTNERSHIP PROPOSAL”(Facebook (IPO)認(rèn)購合作建議)的“419”騙局郵件。標(biāo)題全部使用大寫字母是這類“419”騙局的共同特點。該騙局稱這封郵件來自一家在世界多處設(shè)有辦公室的金融企業(yè)。該騙局的確切性質(zhì)尚不清楚。該騙局稱，用戶可根據(jù)“軟”(即寬松)條款進(jìn)行貸款以購買Facebook股票，然后將股票以高于原始購買價格再次賣給這家金融企業(yè)。騙子引誘用戶回復(fù)的電子郵件地址充分表明這是一個騙局。該地址是一家常用免費Web電子郵件提供商提供的非專業(yè)地址。一家合法公司通常會使用采用自己域名的電子郵件地址，而不會使用一個免費Web地址。此外，郵件“發(fā)件人”一欄中的電子郵件地址和名稱也與郵件正文中提供的電子郵件地址和名稱不同。

　　鑒于這起IPO備受矚目，我們預(yù)計騙子會像利用以前的熱點新聞和事件一樣再次利用該事件。

　　熱點病毒

　　病毒名：Backdoor.Loknod

　　病毒類型：木馬

　　受感染系統(tǒng)：Windows 98/95/Me/NT/2000/ XP/Vista/Server 2003

　　Backdoor.Loknod是一個后門程序，它通常利用Word漏洞來進(jìn)行傳播。

　　運行后，該病毒會釋放并執(zhí)行一個具有隱藏屬性的惡意文件到%TEMP%\print32.dll。print32.dll能夠刪除系統(tǒng)文件并釋放惡意文件到%PROGRAMFILES%\odbc.nls。此后，print32.dll會重新啟動系統(tǒng)打印服務(wù)“spooler”，目的是加載釋放的odbc.nls文件。odbc.nls運行以后會刪除print32.dll并開啟系統(tǒng)后門，同時將自己備份為%TEMP%\[RANDOM_NAME].dat。

　　攻擊者可以利用該后門進(jìn)行以下操作：

　　1)停止windows系統(tǒng)服務(wù);

　　2)從提供的URL下載并執(zhí)行文件;

　　3)記錄系統(tǒng)的按鍵信息并發(fā)送到遠(yuǎn)程服務(wù)器。

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]