|
Служба вирусного мониторинга компании Доктор Веб сообщила о распространении по
сети мгновенных сообщений (ICQ) новой модификации троянской программы,
получившей по классификации компании название Trojan.PWS.LDPinch.1061.
Получаемое пользователем сообщение содержит приглашение посмотреть "прикольную
флэшку" и ссылку, по которой эта "флэшка" находится. Скачиваемый файл
(oPreved.exe) действительно имеет значок флеш-ролика, но на самом деле - это
троянец, перехватывающий пароли.
Техническая информация о данном троянце:
После запуска oPreved.exe (354 304 байта. (Детектируется антивирусом Dr.Web как
Trojan.PWS.LDPinch.1061) создаются файлы:
%System%\Expllorer.exe (223 392 байта. Детектируется антивирусом Dr.Web как
Win32.HLLW.MyBot)
\%windir%\temp\xer.exe (223 392 байта. Детектируется антивирусом Dr.Web как
Win32.HLLW.MyBot)
Временный файл C:\a.bat
Файл Expllorer.exe прописывается в автозагрузку, создавая следующие ключи в
системном реестре:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Shel"=Expllorer.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
"Shel"=Expllorer.exe
Передача паролей происходит через скрипт на сайте hxxp://220web.ru. Передаются
все собранные пароли в системе: icq, ftp, почтовые сервисы, dialup, trilian,
miranda и т.д.
Также Trojan.PWS.LDPinch пытается обойти межсетевые экраны: как встроенный в
операционную систему, так и некоторых сторонних разработчиков.
Компания "Доктор Веб" призывает пользователей быть внимательными и не
открывать ссылки, пришедшие в сообщениях ICQ. Главная опасность состоит в том,
что такую ссылку вы можеле получить не только от неизвестного адресата!
Вероятнее всего, троян придет от человека, который уже есть у вас в
контакт-листе. Это вызвано тем, что программа, после проникновения на компьютер,
рассылает ссылку на себя всем людям из контакт листа вашей ICQ. Кроме этого,
захваченная ICQ мгновенно поступает под контроль захватчика, который может
самостоятельно отвечать жертве и убеждать её запустить троян!
В случае, если Ваш компьютер поражён трояном Trojan.PWS.LDPinch, рекомендуется
отключить компьютер от локальной сети и/или Интернета, проверить его
антивирусным сканером Dr.Web®. Вы также можете бесплатно проверить и, в случае
необходимости, вылечить компьютер при помощи утилиты Dr.Web - CureIt!. Также в
обязательном порядке смените все пароли, хранящиеся на Вашем компьютере. |
