Trojan verspreidt zich via neptickets van KLM

Een pas ontdekte trojan verspreidt zich via een spamcampagne van e-mails die als twee druppels water lijken op e-tickets van KLM.

Een spammer verspreidt valse e-tickets die zogenaamd van KLM zijn in de hoop gebruikers ertoe te verleiden een backdoor te installeren. Onderzoekers van Websense detecteerden vorige week op één dag 850.000 van deze e-mails.

Spamfilters omzeild
Het nepticket ziet er precies zo uit als een echte e-ticket. De spammers zorgen voor unieke waarden in de passagiersgegevens en het ontvangstbewijs om op deze manier ontdekking van spamfilters tegen te gaan. De spammail stuurt een exe-bestand mee die zich voordoet als pdf. Het bestand opent een backdoor.

Websense wijst erop dat het pdf niet het juiste icoon gebruikt en dat het een executable betreft. Hierdoor kunnen gebruikers zien dat het niet om een officiële bijlage gaat. Dezelfde nieuwe malware die Sophos onlangs bij een andere spamcampagne opving, wordt nu weer gebruikt.

Nieuwe trojan
De trojan nestelt zich in het register en wordt automatisch actief wanneer Windows start. Omdat het een vrij nieuwe trojan is, zijn de meeste virusscanners pas sinds een week berekend op het virus.