Більшість шкідливих файлів, які розповсюджуються в поштовому спам, є виконуваними і мають розширення .exe. Але є цікаві винятки: в липні ми виявили кілька підроблених повідомлень від імені різних компаній, що містять шкідливі файли з розширенням .scr. Зазвичай до файлів з таким розширенням відносяться екранні заставки і скрінсейвери Windows.
У підробленому листі від імені британського банку Natwest одержувача просять заповнити банківську форму для надання одержувачу кредитної лінії. Насправді, в прикріпленому до листа архіві знаходився файл BanklineForm.scr, який детектується «Лабораторією Касперського» як Trojan.Win32.Bublik. Зловредів цього сімейства використовуються для скачування і запуску різних шкідливих програм. В даному випадку зловредів накачував банківського троянця Trojan-Spy.Win32.Zbot.sjzi, який передавав своїм зловмисникам фінансову інформацію з зараженого комп'ютера. Для усипляння пильності потенційної жертви зловмисники використовували посилання на справжній сайт банку, а на початку повідомлення згадували, що лист було перевірено і не містить ніяких загроз.
Ім'я ще однієї британської компанії Virgin Media, що надає послуги на ринку кабельної та мобільної телефонії, телебачення та широкосмугового доступу в інтернет, також використовувалося зловмисниками в злочинних цілях - поширення зараженого SCR-файлу. На цей раз одержувача намагалися переконати в тому, що скоєний ним платіж не був оброблений, і тепер для запобігання зупинки обслуговування необхідно оновити платіжну інформацію, заповнивши прикріплену до листа форму. У заархівований файл з розширенням .scr зловмисники помістили троянську програму сімейства Trojan-Downloader.Win32.Discpy, яка, як і Bublik, призначена для скачування і запуску інших шкідливих програм.
Використання файлів з розширенням .scr замість .exe, швидше за все, пов'язано з тим, що останні часто зустрічаються в спам-повідомленнях. Користувачі вже знають, що в більшості випадків за вкладеними EXE-файлами ховається шкідливе ПЗ. У той же час файли з розширенням .scr зустрічаються в пошті значно рідше і не викликають підозри у одержувачів. Ми не рекомендуємо відкривати вкладені в спам-листи файли незалежно від їх розширення. Або, принаймні, варто перевірити присланий файл антивірусом, щоб не стати жертвою злочинців.
