Любопытство наказуемо - теперь еще и троянцем Trojan.PWS.Sysdeb

26 ноября 2003

[26.11.2003]

Служба мониторинга вирусной активности ЗАО «ДиалогНаука» сообщает о появлении новой троянской программы, детектируемой антивирусом Dr.Web® как Trojan.PWS.Sysdeb (в классификации других антивирусных вендоров программа также получила название Sysbug и Backdoor-CAG).

У программы нет собственного механизма распространения, первоначальное распространение троянец получил благодаря обыкновенной спам-рассылке, которая в последнее время все чаще используется вирусописателями для запуска во всемирную сеть своих вредоносных творений. На этот раз, предположительно, рассылка осуществлялась с hotmail.com. Тема сообщения, с которым троянец может попасть на компьютер своей будущей жертвы, - Re[2]: Mary. Текст прилагаемого письма, предлагающего полюбоваться интимными фотографиями неизвестной Mary, сопровождается заверениями в любви к ней же. Вложение, которое, собственно, и содержит исполняемый модуль троянца, носит название PRIVATE.ZIP. Внутри архива находится файл WENDYNAKED.JPG.EXE. Пользователя не должно смутить наличие двойного расширения: несмотря на попытки автора троянца замаскировать агрессора под безобидный файл в формате JPG, на самом деле внутри архива находится исполняемый файл.

Будучи распакованным, троянец копирует себя в директорию Windows в виде файла SYSDEB32.EXE и создает соответствующий ключ в реестре для обеспечения своего автоматического запуска при каждом начале работы пользователя в Windows. Еще один файл - TEMP35.TXT - троянец создает в корневой директории диска С. В этом файле он хранит различные данные, собранные в системе - имя пользователя, пароли, почтовые адреса.

Заразив систему, троянец осуществляет попытки передать по интернету собранную на компьютере конфиденциальную информацию на сервер, ссылка на который находится в коде этой вредоносной программы.

Trojan.PWS.Sysdeb обнаруживается и обезвреживается антивирусной программой Dr.Web® с 25 ноября 2003 года. Пользователи с активным компонентом антивирусной защиты электронной почты SpIDer Mail гарантированы от получения зараженных этим червем писем.

Подробное описание механизма его действия можно прочитать на нашем сайте позднее.

9
;