Блог Антона Машнина

Интересные статьи на разные темы

Компания «Доктор Веб» сообщила о распространении вредоносного спама

Компания «Доктор Веб» оповещает о появлении нового трояна Trojan.Inject1.4969. Вирус распространяется при помощи спама под видом почтовой службы UPS. Этот вирус может воровать информацию различного характера, а в некоторых случаях – даже выполнять, отдаваемые посторонним человеком, команды.

Ориентировочно с 21.06.2012 стали фиксироваться случаи получения электронных писем, которые отправлены от имени сервиса почтовой службы UPS. В таких письмах содержится информация о том, что якобы письмо, отправленное адресату, не могло быть доставлено, и ему предлагается заполнить соответствующую форму для уточнения точного адреса доставки. В этом письме также есть прикрепленный файл с zip-архивом, который содержит исполняемый файл, но со значком Microsoft Word. В том случае, если у пользователя отключена функция отображения расширений у известных файлов – пользователь может запустить этот файл, тем самым активировав вирус.

Вирус копирует себя в папку Application Data, удаляет свой исходный файл, после чего прописывает себя в реестре в автозагрузку приложений. После этого, Trojan.Inject1.4969 начинает выполнять некоторые процессы – запускает explorer.exe и прописывает в нем свой собственный код. Затем он пытается провести эту операцию со всеми работающими на данный момент процессами. После этого, вирус соединяется с серверами, которые фиксированы в его коде. Этот вирус шифрует собственные запросы при помощи стандартной функции CryptoAPI.

Trojan.Inject1.4969 накапливает информацию о профиле пользователя, под которым он был запущен, ворует и передает на свои сервера cookies с браузеров, которые используются на компьютере пользователя. Еще, данная вредоносная программа может выполнять команды, которые поступают от серверов мошенников – изменять направления запросов командного интерпретатора Windows, загружать или передавать, а также запускать разные файлы, проводить поиск файлов и многое другое.

Читайте также:

Обсуждение закрыто.