Наверх
Меню
Новости
Статьи
twitter
Новости Internet
3 марта 2007
2578
  Будьте осторожны: спам с неприятным секретом  
 
Будьте осторожны: спам с неприятным секретом

"Лаборатория Касперского" сообщила о перехвате нетипичной спам-рассылки. Перехваченные графические спамовые письма необычны тем, что в них, кроме основного английского текста, призывающего срочно покупать акции некой сомнительной компании, содержится фраза на ломаном русском языке "ОТПИСАТЬ ОТ РАССЫЛКИ МОЖНО ЗДЕСЬ" и ссылка на страницу, с которой пользователь перенаправляется на сайт, содержащий вредоносный код.

В том случае, если письмо получает русскоговорящий пользователь, в действие вступают механизмы социальной инженерии: получатель письма с очень высокой степенью вероятности постарается отписаться от раздражающей рассылки и пройдет по указанному в сообщении адресу.

В результате на компьютер пользователя загружается троянская программа Trojan-Downloader.JS.Small.dz, которая, в свою очередь, устанавливает программу-шпион Trojan-Spy.Win32.Goldun.ms, целенаправленно ворующую номера счетов и пароли платежной системы e-gold.

Таким образом, данная спамовая рассылка ориентирована одновременно на две целевые аудитории: англоязычную, потенциально заинтересованную в покупке акций, и русскоязычную, которая при попытке отписаться от назойливой рассылки заражается вредоносной программой-шпионом. Учитывая, что именно русскоязычные пользователи подвергаются наибольшей опасности при получении таких писем, можно предположить, что именно они и являются основной целью спамеров.

Троянская программа Trojan-Spy.Win32.Goldun.ms имеет особенность: она предназначена для кражи пользовательских паролей для одной определенной платежной системы.

Обнаруженная спам-рассылка является еще одним ярким примером тесного симбиоза спамеров и вирусописателей, которые распространяют вредоносные программы вместе с рекламой сомнительных товаров и услуг. Пользователям рекомендуется быть внимательными и не открывать письма от неизвестных адресатов.

Инсталляция

При запуске троянец извлекает из своего тела следующий файл:

%System%\msvcrl.dll – имеет размер 39 424 байта, упакован с помощью UPX.

Троянец получает путь к установленному Internet Explorer и изменяет файл iexplore.exe, добавляя в его таблицу импортов импорт из библиотеки %

  System%msvcrl.dll. 


После чего троянская библиотека будет загружаться при каждом запуске Microsoft Internet Explorer.

При этом оригинальный файл троянца удаляется.

Деструктивная активность

Троянец похищает пароли на учетные записи из файлов данных следующих клиентов
мгновенных сообщений:
QIP2005
Trillian
MSN Messenger
Yahoo Messenger
AOL
Miranda

Также троянец похищает пароли к FTP серверам из файлов конфигурации следующих
FTP клиентов:
WS_FTP
Total Commander
CuteFTP
FAR

Похищает пароли к учетным записям электронной почты из файлов настроек следующих
почтовых клиентов:
TheBat
Outlook Express
Outlook

Также троянец похищает словарь IE Auto Complete Fields.

Троянец устанавливает перехватчики на API функции для работы с сетью интернет:

InternetReadFile
InternetOpenURL

с помощью которых следит за посещаемыми пользователем Интернет сайтами. Также
троян перехватывает отсылаемые Internet Explorer данные из полей ввода на web-формах.


Кроме того при открытии в Internet Explorer адресов, которые попадают в заложенный
внутрь троянца список, троян осуществляет перенаправление запросов на сайты
злоумышленника.

Собранную на компьютере пользователя информацию троянец отправляет на сайт
злоумышленника в параметрах HTTP запроса.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной
программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи Диспетчера Задач завершить все процессы iexplore.exe
  2. Удалить файл:
    %System%msvcrl.dll

  3. Восстановить исходный файл iexplore.exe с установочного компакт
    диска Windows
  4. Произвести полное сканирование компьютера антивирусом


Источники: 3dnews.ru и viruslist.com


 



Поделиться с друзьями:


Другие новости по теме
 
Вы не авторизованный пользователь. Чтобы воспользоваться всеми возможностями сайта, зарегистрируйтесь.
 

Комментарии

Suslik 3 марта 2007 15:40
QIP2005
Trillian
MSN Messenger
Yahoo Messenger
AOL
Miranda

ICQ Lite забыли ;) или в России ей уже ни кто не пользуется)
 
 
 

d0dger 3 марта 2007 15:47
Suslik, возможно троян не похищает пароли ICQ Lite. Вряд ли Лаборатория Касперского могла забыть её :)


--------------------
Acer Aspire 5720 (Core 2 Duo T7100, GMA X3100, 2GB DDR2, 160GB HDD)
 
 
 

wild_child 4 марта 2007 08:25
А если я не пользуюсь Internet Explorer?
 
 
 

d0dger 4 марта 2007 12:01
wild_child, значит троян будет ждать, пока ты его запустишь.


--------------------
Acer Aspire 5720 (Core 2 Duo T7100, GMA X3100, 2GB DDR2, 160GB HDD)
 
 
 

Схрон 5 марта 2007 18:00
d0dger,
терпеливо ждать :))
 
 
 

Азамат 7 апреля 2007 12:32
Спасибо за статью а то Я никак не могу понять почему эксплорер не запускался))
 
 
 
Добавление комментария
Ваше имя
Ваш Email
Код Включите эту картинку для отображения кода безопасности
обновить код
Введите код