Personerne bag den skadelig "Nuwar" familie har sent i aftes og i nat gennemført et omfattende og aggressivt spamrun mod flere toplevel domæner. Denne gang truer gruppen bag Nuwar med virusinfektion hos modtageren af e-mailen. De vedhæfter en "løsning", som man alt andet lige ikke bør åbne.

Den skadelige Nuwar kode er vedhæftet e-mailen og pakket med RAR samtidig med at arkivet er password beskyttet. Passwordet til arkivet er vedhæftet som et almindelig gif-billede og vises når filen åbnes.

CSIS har stoppet et betydeligt antal eksemplarer af "Nuwar", som i nat er blevet spammet ud til vilkårlige modtagere.

Koden ankommer med følgende indhold:

Fra: [Spoofet / Forfalsket afsender]

Emne: [en af følgende kombinationer]

Spyware Detected!
Trojan Detected!
Virus Alert!
Virus Activity Detected!
Warning!
Worm Alert!
Worm Detected!
Worm Activity Detected!

Indhold:

Tom

Vedhæftet:

bugfix-[5 vilkårlige tal].rar
hotfix-[5 vilkårlige tal].rar
patch-[5 vilkårlige tal].rar
removal-[5 vilkårlige tal].rar

Den vedhæftede fil er identisk med vores tidligere analyse, som kan findes på adressen:
http://csis.dk/dk/nyheder/nyheder.asp?tekstID=585

CSIS anbefaler at man sikrer at password beskyttede arkiver ikke ukritisk får lov til at slippe forbi virksomhedens gateway og lande hos slutbrugere. Det kan være en god ide at blokere for adgang til IP adressen 81.177.3.175, hvorfra der hentes og køres yderligere skadelig kode på inficerede maskiner.

CSIS mailfirewall kunder er proaktivt beskyttet mod denne trussel.