السلام عليكم و رحمة الله وبركاته
تحية طيبة وبعد
نود أن ننوه على أنه انتشر في المنطقة العربية خلال الخمسة أيام الماضية (منذ الأحد الماضي 19 جمادى الآخرة 1432هـ، الموافق 22 مايو 2011م) تلقى مستخدمين أنظمة البريد الإلكتروني لرسالة مشبوهة بدون عنوان من مرسل معروف لديهم من قائمة جهات الاتصال الخاصة بهم، و تحتوي هذه الرسالة على سطر واحد فقط هو عبارة عن رابط مشبوه، و يتغير هذا الرابط من رسالة إلى أخرى لكنه دائماً ينتهي بكلمة Enterin.htmlاو كلمات أخرى أيضا ،
و يقوم الرابط المشبوه بعد الضغط عليه بأخذ المستخدم إلى صفحة تعمل على توجيه المتصفح لموقع مشبوه مستضاف على العنوان الشبكي التالي 69.65.39.14 ،
و الذي بدوره يقوم بتنزيل ملف مصاب من نوعية Trojan.FakeAV: ،
و يعمل هذا البرنامج على خداع المستخدم و محاولة إيهامه من خلال نوافذ منبثقة متتالية بأن جهازه مصاب بفيروساتو يطلب منه تسجيل و شراء هذا البرنامج الخاص بمكافحة الفيروسات، و لا يكف هذا البرنامج عن إزعاج المستخدم الذي وقع ضحيته بواسطة هذه النوافذ التحذيرية الوهمية إلا بعد موافقة المستخدم على شراء هذا البرنامج من خلال بطاقته الائتمانية، و قد يتطور سلوك هذا البرنامج المشبوه لما هو أبعد من الإزعاج عن طريق النوافذ المنبثقة، حيث قد يقوم في بعض الأحيان بمنع المستخدم من فتح بعض البرامج.
وقد قامت إدارة تقنية المعلومات في الشركة بمنع هذه الإيميلات، مع ذلك ننصح جميع مستخدمي الإيميل عدم الضغط على أي رابط مشبوه أو غير معروف المصدر .
و لمعرفة ما إذا كانت مثل هذه الرسائل المشبوهة قد وصلت للمستخدم أم لا فيمكن للمستخدم القيام بإجراء عملية بحث سريعة خلال الرسائل التي بصندوق بريده عن كلمة Enterin.html
داخل نصوص الرسائل، فإن وجد بعض الرسائل التي ليس لها سطر عنوان، أي (No Subject) و تحتوي على رابط ينتهي بالكلمة المذكورة عاليه، أي على الشكل التالي:
http://any.domain.com/enterin.html
فليعلم أن هذه الرسالة تنتمي إلى نفس نوعية الرسائل المشبوهة، و عليه الحذر و ألا يقوم بالضغط على هذا الرابط، و الأفضل أن يقوم بمسح الرسالة تماماً، و كذلك إبلاغ من أرسلها له بأن بريده قد أصيب و أنه يقوم بنشر هذا الرابط المشبوه لجميع أصدقائه، و أن على هذا المرسل أن يقوم بتغيير كلمة مرور بريده المرسل منه هذه الرسالة المشبوهة.
أيضاً من وسائل انتشار هذا الرابط المشبوه أن يقوم بعض أعضاء المنتديات العامة بإدراج الرابط و دعوة غيرهم للوصول إليه مما يتسبب في إصابة حساباتهم البريدية بهذا التهديد الأمني.
مع أطيب الأمنايت للجميع
إدارة تقنية المعلومات في مجموعة المتبولي المتحدة
IT department has noticed that during the past five days (since Sunday from 19 Jumada II 1432 AH, corresponding to May 22, 2011) the users of the e-mail systems in the Arab region have received some suspicious messages from a sender known to the recipient; the sender is usually from their contact list, these messages have "No Subject" and contain only one line; and it is a (URL), this URL changes from message to another, but always ends with the word:
Enterin.html
Clicking on this link take the user to a page that will redirect the browser to a suspicious site hosted on the following web address:
69.65.39.14
And which in turn downloads the malicious file:
Trojan.FakeAV
This malicious program will try to trick the user through a very large number of pop-up windows warning him that his computer is infected with viruses and ask him to register and purchase this malicious Anti-Virus program, and will not stop showing these annoying pop-up windows until the user signed and buy the program by credit card, this malicious program may develop its suspicious behavior far from the inconvenience pop-up windows to something which is more annoying like preventing the user from opening some programs in his/her computer.
Therefore the IT department has blocked such malicious messages and recommends all the UMG e-mail users not to click on any un-trusted link, especially links that end with the word:
Enterin.html
For example the following link:
http://any.domain.com/enterin.html
And to find out whether such suspicious messages have arrived to the user; the user can do a quick search through the messages in his/her Mailbox for the (pattern) word:
Enterin.html
If the user finds some of these malicious messages; they will have "No Subject" and will have a link ends with Enterin.html as mentioned above. And they will be one of these suspicious messages, Users should be careful and not to click on this link, as well as telling the sender that his email has been hacked and he should change the e-mail password.
One of the means of spreading this suspicious link is that some members of the public forums include the link in their posts and invite others to reach it, causing injury to their computers and e-mail accounts.
Best Wishes,