В сети распространяется вирус под видом письма от Citibank

Служба мониторинга вирусной активности ЗАО "ДиалогНаука" сообщает о появлении в сети интернет опасного вируса, детектируемого антивирусной программой Dr.Web^® как Trojan.DownLoader.43040. В классификации других антивирусных вендоров вирус также получил название Berbew, Heloc и Win32.Webber.

Распространяется троянец в приложении к электронному письму, которое рассылается якобы от имени американского банка Citibank. Скорее всего, это спам-рассылка, осуществленная со множества IP-адресов по всему миру.

Адрес отправителя подставляется вирусом и не содержит реальный адрес корреспондента. Тема сообщения: Re: Your credit application. Текст письма содержит отказ в предоставлении якобы запрашиваемого пользователем займа в Citibank. Наименование вложения, содержащего двойное расширение - www.citybankhomeloan.htm.pif.

При открытии вложения троянец предпринимает попытки загрузить в систему другой свой компонент с веб-узла в России. Будучи активированным, троянец копирует себя в системную директорию Windows в виде файла neher.exe и устанавливает в систему файл динамической библиотеки, который действует как прокси сервер и, кроме этого, несет в себе функцию похитителя паролей.

Троянец обнаруживается и обезвреживается антивирусной программой Dr.Web^® с 12 ноября 2003 года. Пользователи с активным компонентом антивирусной защиты электронной почты SpIDer Mail гарантированы от получения зараженных этим вирусом писем.