Опасный троянец маскируется под видиоролики о важнейших мировых событиях

21 января 2007

21.01.2007, Москва

Служба вирусного мониторинга компании «Доктор Веб» сообщает о довольно быстром увеличении присутствия в почтовом трафике спам-сообщений, несущих в качестве вложения троянскую программу Trojan.Spambot (по классификации Dr.Web). Данный троянец является фактически копией другой аналогичной вредоносной программы - BackDoor.Groan - с несколько измененнным упаковщиком. На 23-00 20 января письма, имеющие во вложении BackDoor.Groan, составляли 87% всего инфицированного почтового трафика.

Огромное количество экземпляров троянца в интернете объясняется массированными спам-рассылками, организованными по всему миру. При этом замысел его создателей весьма прост - привлечь внимание пользователей и вызвать их естественное любопытство броским заголовком, сообщающим о каком-либо весьма актуальном событии в мировой политике. Текст в сообщении при этом отсутствует, таким образом, пользователь, не искушенный в вопросах безопасности, сразу переходит к "основной теме" - то есть, запускает опасное вложение - исполняемый файл -одним щелчком мыши.

Будучи запущенным, программа сбрасывает в системный каталог Windows и устанавливает в системе драйвер (имя файла - wincom32.sys, соответствующая запись создается в системном реестре), который может в дальнейшем закачивать другие вредоносные программы, оставаясь при этом невидимым для менеджера задач.

Письма, которые приходят с вложением, содержащим данную разновидность троянца Trojan.Spambot, могут иметь следующие заголовки:

  • Russian missle shot down Chinese satellite
  • Russian missle shot down USA satellite
  • The Supreme Court has been attacked by terrorists. Sen. Mark Dayton dead!
  • Fidel Castro dead!

Имена исполняемых файлов, которые были зафиксированы Службой вирусного мониторинга «Доктор Веб» применительно к этим спам-рассылкам, были следующими:

  • Full video.exe
  • Full clip.exe
  • Full news.exe
  • Full story.exe
  • Video.exe

Специалисты компании «Доктор Веб» еще раз предостерегают всех пользователей от излишнего любопытства при получении писем с вложениями от неизвестных адресатов. В ближайшие дни вполне возможно нарастание присутствия в сети данной троянской программы вследствие продолжения спам-рассылок инфицированных сообщений, с различными вариациями заголовок писем, а также имен прилагаемых файлов.

219
;