За последнюю неделю резко возросло количество спам-писем с приложенным архивом, в котором содержится вредоносная программа, определяемая антивирусом Dr.Web как Trojan.Packed.1198, сообщает компания «Доктор Веб».
Исходное письмо, которое приходит пользователю, имеет яркий заголовок - «New anjelina jolie sex scandal». В теле письма находится приглашение открыть приложенный файл, в котором якобы находится порно-ролик.
Стоит отметить, что данный прием широко распространен в современных спам-рассылках, однако последняя стала настолько массовой (более 50% всего инфицированного почтового трафика в пиковые часы по данным по данным сервера статистики компании «Доктор Веб»), что Trojan.Packed.1198 заразилось множество пользователей, как в России, так и по всему миру.
Архив, приложенный к письму, содержит установщик вредоносной программы на компьютер пользователя - anjelina_video.exe размером 44 032 байта. В свою очередь он содержит файл, определяемый Dr.Web как Trojan.MulDrop.17829.
Вредоносная программа проверяет, не установлены ли уже в системе некоторые из известных видов лже-антивирусов (различные модификации Trojan.FakeAlert). В случае наличия их в системе, Trojan.MulDrop.17829 завершает работу и удаляет себя. Если же никаких признаков лжеантивирусов не обнаруживается, троянец принимается за активные действия.
Прежде всего, Trojan.MulDrop.17829 расшифровывает находящийся внутри него файл и сохраняет его в системном каталоге с именем brastk.exe. Сохраненный файл тоже определяется как Trojan.Packed.1198, т.к. в нем используется упаковщик, схожий с тем, что используется в исходном файле.
Также в системе сохраняется файл figaro.sys. При загрузке драйвера троян временно заменяет им драйвер beep.sys, что позволяет маскировать запуск своих драйверов от многих антируткит-утилит. В завершение троян уничтожает исходный файл и перезагружает систему.
Активность трояна состоит в изменении настроек зон безопасности Windows, отключении предупреждения Windows об отсутствии антивируса, выключенном встроенном файерволле, а также обновлений. При этом встроенный файерволл также отключается. Затем троян удаляет из реестра данные расширений Internet Explorer и устанавливает в качестве поискового движка Google, также меняя стартовую страницу на www.google.com.
В конце концов, троян выводит сообщение о том, что компьютер инфицирован и предлагает скачать средство борьбы. Интересная особенность заключается в том, что он скачивает вредоносные файлы ещё до вывода сообщения о заражении системы пользователя.
Пик спам-рассылок с Trojan.Packed.1198 пришелся на 20-22 октября. С 25 октября в практически идентичных письмах началась рассылка вредоносных программ, определяемых как Trojan.PWS.Panda.31.
Сейчас
+6˚C
Пробки
4/10
ЛАЙК1
СМЕХ0
УДИВЛЕНИЕ0
ГНЕВ0
ПЕЧАЛЬ0
ПРИСОЕДИНИТЬСЯ
Самые яркие фото и видео дня — в наших группах в социальных сетях
Увидели опечатку? Выделите фрагмент и нажмите Ctrl+Enter
сообщить новость
Отправьте свою новость в редакцию, расскажите о проблеме или подкиньте тему для публикации. Сюда же загружайте ваше видео и фото.
