A SophosLabs szakértői figyelmeztetést tettek közzé egy olyan széleskörben terjedő email spam kampányról, amely képernyőkímélőnek álcázza magát, de valójában arra hozták létre, hogy Trójai programokat és rootkiteket telepítsen fel a megfertőzött Windows rendszerű számítógépekre.
A világszerte a postafiókokba érkező emailek azt állítják, hogy a címzett egy barátjától kapott egy képernyőkímélőt, és bátorítja is a felhasználót a csatolmány megnyitására (bsaver.zip néven érkezik).
Az emaileket egy olyan rosszindulatú spam kampányban használják fel, amelyekben a „Good morning/evening, man! Realy cool screensaver in your attachment" és a következő levéltárgyak különböző változatait használják:
Life is beautiful
Life will be better
Good summer
Help you
A ZIP csatolmányban található állományra kattintva a Troj/Agent-FZB program fertőzi meg a felhasználó gépét, amely kettő további rootkitet telepít, amely megpróbálja elrejteni azt a biztonsági szoftver elől.
„Ha olyan kéretlen levelet kap, amely bátorítja Önt a csatolt „klassz képernyőkímélő" futtatására, akkor az Ön fejében meg kell szólalnia a vészharangnak." - mondta Graham Cluley, a Sophos vezető technológiai tanácsadója. „A hackerek a social engineering és a lopakodó-módú rootkitek kombinációját használják fel azon Windows felhasználók ellen, akik kattintás előtt elfelejtenek gondolkodni."
A Sophos anti-vírus termékei a spam kampányban használt rootkiteket Troj/NTRootK-BY és Troj/Agent-FVT néven észleli. Az ügyfelek a támadás ellen 2007. július 27. 1 óra 20 perc óta védettek.
„A rootkitek egy külső szervezet - rendszerint hackerek - által gyakorta használt olyan szoftverek, amelyek más szoftvereket és folyamatokat rejtenek el fejlett álcázási technikák segítségével. Kártékony kódokat, mint pl. kémprogramokat vagy billentyűzetnaplózókat lehet láthatatlanná tenni az észlelés alól a hagyományos biztonsági termékek vagy az operációs rendszer számára, ezáltal észlelésük nagyon nehéz." - magyarázza Cluley. „A hackerek a rootkit technológiát arra használják, hogy fenntartsák a hozzáférést a megszerzett rendszerekhez, a felhasználó tudta nélkül, ezért kifejezetten fontos az ilyen fenyegetések elleni megfelelő védelem."