Facebook IPO成為"預(yù)付款詐騙"新噱頭

　　這起IPO備受矚目，所以它難以逃脫“預(yù)付款欺詐”(又名“419”)騙子的注意。簡(jiǎn)單介紹一下，在這類騙局中，騙子通常會(huì)承諾支付一大筆錢，以換取受騙者的幫助。然而，在支付一大筆錢之前，騙子會(huì)以越來(lái)越有“創(chuàng)意”的理由收取多項(xiàng)預(yù)付費(fèi)用。騙子不斷收取預(yù)付費(fèi)用，卻從不兌現(xiàn)所承諾的錢。

　　互聯(lián)網(wǎng)疫情通報(bào)

　　我們最近發(fā)現(xiàn)一種標(biāo)題為“FACEBOOK (IPO) SUBSCRIPTION PARTNERSHIP PROPOSAL”(Facebook (IPO)認(rèn)購(gòu)合作建議)的“419”騙局郵件。標(biāo)題全部使用大寫字母是這類“419”騙局的共同特點(diǎn)。該騙局稱這封郵件來(lái)自一家在世界多處設(shè)有辦公室的金融企業(yè)。該騙局的確切性質(zhì)尚不清楚。該騙局稱，用戶可根據(jù)“軟”(即寬松)條款進(jìn)行貸款以購(gòu)買Facebook股票，然后將股票以高于原始購(gòu)買價(jià)格再次賣給這家金融企業(yè)。騙子引誘用戶回復(fù)的電子郵件地址充分表明這是一個(gè)騙局。該地址是一家常用免費(fèi)Web電子郵件提供商提供的非專業(yè)地址。一家合法公司通常會(huì)使用采用自己域名的電子郵件地址，而不會(huì)使用一個(gè)免費(fèi)Web地址。此外，郵件“發(fā)件人”一欄中的電子郵件地址和名稱也與郵件正文中提供的電子郵件地址和名稱不同。

　　鑒于這起IPO備受矚目，我們預(yù)計(jì)騙子會(huì)像利用以前的熱點(diǎn)新聞和事件一樣再次利用該事件。

　　熱點(diǎn)病毒

　　病毒名：Backdoor.Loknod

　　病毒類型：木馬

　　受感染系統(tǒng)：Windows 98/95/Me/NT/2000/ XP/Vista/Server 2003

　　Backdoor.Loknod是一個(gè)后門程序，它通常利用Word漏洞來(lái)進(jìn)行傳播。

　　運(yùn)行后，該病毒會(huì)釋放并執(zhí)行一個(gè)具有隱藏屬性的惡意文件到%TEMP%\print32.dll。print32.dll能夠刪除系統(tǒng)文件并釋放惡意文件到%PROGRAMFILES%\odbc.nls。此后，print32.dll會(huì)重新啟動(dòng)系統(tǒng)打印服務(wù)“spooler”，目的是加載釋放的odbc.nls文件。odbc.nls運(yùn)行以后會(huì)刪除print32.dll并開(kāi)啟系統(tǒng)后門，同時(shí)將自己備份為%TEMP%\[RANDOM_NAME].dat。

　　攻擊者可以利用該后門進(jìn)行以下操作：

　　1)停止windows系統(tǒng)服務(wù);

　　2)從提供的URL下載并執(zhí)行文件;

　　3)記錄系統(tǒng)的按鍵信息并發(fā)送到遠(yuǎn)程服務(wù)器。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]