С начала декабря эксперты наблюдают всплеск спам-рассылок с ботнета Pushdo, посвященных эпидемии свиного гриппа и нацеленных на распространение нового варианта Zbot на территории США.

Фальшивые извещения написаны от имени органа государственного санэпиднадзора США, Centers For Disease Control And Prevention (CDC). В них сообщается о проведении всеобщей вакцинации от гриппа H1N1 (что, разумеется, фикция), в связи с чем американским гражданам якобы надлежит заполнить на сайте CDC форму индивидуального учета. Указанная в письме ссылка ведет на сайт-подделку, где при попытке пользователя скачать инструкцию по заполнению формы индивидуального учета на компьютер пользователя загружается троянский файл.

В первые часы атаки AppRiver регистрировала в среднем 18 тыс. сообщений в минуту (более 1 млн. в час). На вторые сутки производительность спамботов снизилась почти наполовину, но количество заблокированных сообщений все равно было внушительным — около 13 млн. за сутки. По имеющимся сведениям, в этой кибератаке задействовано более 30 доменов, которые были зарегистрированы в зонах .be и .im (остров Мэн) за неделю до начала спам-рассылок. Они привязаны к 135 IP-адресам, размещенным на территории Колумбии, Бразилии, Индии, Малайзии, Чили и Аргентины.

Вредоносный файл vacc_profile.exe вначале плохо детектировался антивирусами, а на второй день атаки его определяла уже половина из списка VirusTotal. Антивирус Касперского опознал его как Packed.Win32.Krap.ae. На случай, если осмотрительный пользователь откажется скачивать «инструкции» с поддельной страницы CDC, злоумышленники предусмотрели резервный способ заражения. Страница содержит iFrame-редирект, запускающий эксплойты для уязвимостей Adobe Reader and Flash Player.