Новости
07.08 По миру "плодятся" фальшивые продавцы Apple
06.08 Американский король спама сдался агентам ФБР
05.08 В Вологодской области будут судить чиновника по делу о томографах
05.08 Полицейские Невского района подвели итоги борьбы с незаконной игровой деятельностью
04.08 Следователи рассказали жуткие подробности убийства тульской семьи
04.08 Прокурор Тульской области: Предполагаемый убийца тульской семьи - интеллигентный молодой человек
04.08 В квартире убитой семьи в Туле проведут следственный эксперимент
02.08 По-глобальному, Петербургу не хватает "человекообразия"
02.08 Смерть огня
02.08 Всевидящее око на дороге
02.08 Алексей Смирнов: «Группа “Кафе” всегда была коллективом, близким к панку»
01.08 Компьютерные игры, с элементами насилия, изъяли с прилавков норвежских магазинов
01.08 Жители округа "Петровский" сожалеют, что так и не увидели газету с объявлением о выборах Матвиенко
29.07 Смерть огня
Рекламный блок:
Новости
Новый вирус бродит по интернету
28 октября 2008 г.
За последнюю неделю резко возросло количество спам-писем с приложенным архивом, в котором содержится вредоносная программа, определяемая антивирусом Dr.Web как Trojan.Packed.1198, сообщает компания «Доктор Веб». Исходное письмо, которое приходит пользователю, имеет яркий заголовок - «New anjelina jolie sex scandal». В теле письма находится приглашение открыть приложенный файл, в котором якобы находится порно-ролик.
Стоит отметить, что данный прием широко распространен в современных спам-рассылках, однако последняя стала настолько массовой (более 50% всего инфицированного почтового трафика в пиковые часы по данным по данным сервера статистики компании «Доктор Веб»), что Trojan.Packed.1198 заразилось множество пользователей, как в России, так и по всему миру.
Архив, приложенный к письму, содержит установщик вредоносной программы на компьютер пользователя - anjelina_video.exe размером 44 032 байта. В свою очередь он содержит файл, определяемый Dr.Web как Trojan.MulDrop.17829.
Вредоносная программа проверяет, не установлены ли уже в системе некоторые из известных видов лже-антивирусов (различные модификации Trojan.FakeAlert). В случае наличия их в системе, Trojan.MulDrop.17829 завершает работу и удаляет себя. Если же никаких признаков лжеантивирусов не обнаруживается, троянец принимается за активные действия.
Прежде всего, Trojan.MulDrop.17829 расшифровывает находящийся внутри него файл и сохраняет его в системном каталоге с именем brastk.exe. Сохраненный файл тоже определяется как Trojan.Packed.1198, т.к. в нем используется упаковщик, схожий с тем, что используется в исходном файле.
Также в системе сохраняется файл figaro.sys. При загрузке драйвера троян временно заменяет им драйвер beep.sys, что позволяет маскировать запуск своих драйверов от многих антируткит-утилит. В завершение троян уничтожает исходный файл и перезагружает систему.
Активность трояна состоит в изменении настроек зон безопасности Windows, отключении предупреждения Windows об отсутствии антивируса, выключенном встроенном файерволле, а также обновлений. При этом встроенный файерволл также отключается. Затем троян удаляет из реестра данные расширений Internet Explorer и устанавливает в качестве поискового движка Google, также меняя стартовую страницу на www.google.com.
В конце концов, троян выводит сообщение о том, что компьютер инфицирован и предлагает скачать средство борьбы. Интересная особенность заключается в том, что он скачивает вредоносные файлы ещё до вывода сообщения о заражении системы пользователя.
Пик спам-рассылок с Trojan.Packed.1198 пришелся на 20-22 октября. С 25 октября в практически идентичных письмах началась рассылка вредоносных программ, определяемых как Trojan.PWS.Panda.31.
В Мой Мир |
|
Читайте также
По миру "плодятся" фальшивые продавцы Apple
Американский король спама сдался агентам ФБР
В Вологодской области будут судить чиновника по делу о томографах
Полицейские Невского района подвели итоги борьбы с незаконной игровой деятельностью
Следователи рассказали жуткие подробности убийства тульской семьи