«Trojan.Packed.1198» — деловой и самостоятельный
В течение последней недели резко увеличилось количество спам-писем с приложенным архивом, содержащим вредоносную программу «Trojan.Packed.1198». Об этом говорится в сообщении, распространенном компанией «Доктор Веб». Пик спам-рассылок с «Trojan.Packed.1198» пришелся на 20–22 октября, а с 25 октября в практически идентичных письмах началась рассылка вредоносных программ, определяемых антивирусом «Dr.Web» как «Trojan.PWS.Panda.31».
В качестве «наживки», на которую должен повестись простодушный пользователь, используется сабж «New anjelina jolie sex scandal», передает . В теле письма заинтригованному получателю предлагается открыть приложенный файл, в котором якобы находится порноролик. На самом же деле, архив содержит установщик вредоносной программы «Anjelina_video.exe» объемом 44 032 байта — файлик «Trojan.MulDrop.17829», припрятанный в архиве, проверяет систему на наличие некоторых известных лжеантивирусов и, если последние в системе присутствуют, завершает работу и самоудаляется. Если же их нет, троян принимается за работу: расшифровывает находящийся внутри него файл и сохраняет его в системном каталоге как brastk.exe. Сохраненный файл тоже определяется как Trojan.Packed.1198, т.к. в нем используется упаковщик, схожий с тем, что используется в исходном файле. Также в системе сохраняется файл figaro.sys. При загрузке драйвера троян временно заменяет им драйвер beep.sys, что позволяет маскировать запуск своих драйверов от многих антируткит-утилит. В завершение троян уничтожает исходный файл и перезагружает систему.
Активность трояна состоит в изменении настроек зон безопасности «Windows», отключении предупреждения операционной системы об отсутствии антивируса, выключенном встроенном файерволле, а также обновлений. При этом встроенный файерволл также отключается. Затем троян удаляет из реестра данные расширений «Internet Explorer» и устанавливает в качестве поискового движка «Google», также меняя стартовую страницу на «Google.com». Под занавес выводится сообщение о том, что компьютер инфицирован с предложением скачать полезную пилюлю (а пока пользователь, раскрыв рот, все это читает, вредоносные файлы уже вовсю скачиваютчся).
Подписаться на рассылку новостей Интернета от «Introweb»
Ещё рекомендуем прочитать:
«Ubuntu Linux 8.10» поспеет к четвергу
AOL закроет неприбыльные сервисы
Запущена первая голосовая социальная сеть
RIM намерена создать сайт для торговли приложениями
ХАМАС объявил конкурс хакеров
| К списку статей |
