Een groep cybercriminelen, waarschijnlijk afkomstig uit Turkije, gebruikt vBulletin fora om malware te verspreiden. Via een registratiebot die de captcha-beveiliging van Vbulletin 3.7 kan omzeilen, hebben ze zich bij meer dan 4000 fora al aangemeld. De "gebruiker" hakan_72_123 plaatst vervolgens berichten waarin wordt gelinkt naar een installatiebestand van Kaspersky 2009. De keuze voor internetfora is logisch, aldus Rafel Ivgi van Securiteam. "Wat is een betere plek om aan te vallen dan waar mensen elkaar vertrouwen?"
In plaats van te linken naar een .msi bestand, gebruiken ze een zelf uitpakkend WinRAR archief dat het icoontje van een msi-bestand heeft. Het archief is verder zo aangepast dat WinRAR het niet als een zelf uitpakkend archief herkent. Opent de gebruiker het bestand, dan wordt een Trojan downloader geïnstalleerd. Naast internetfora is de groep inmiddels ook actief via BitTorrent.
Deze posting is gelocked. Reageren is niet meer mogelijk.