28/07/2006 19:39
Служба вирусного мониторинга компании "Доктор Веб" сообщила о распространении
по сети мгновенных сообщений (ICQ) новой модификации троянской программы,
получившей по классификации компании "Доктор Веб" название Trojan.PWS.LDPinch.1061.
Получаемое пользователем сообщение содержит приглашение посмотреть "прикольную
флэшку" и ссылку, по которой эта "флэшка" находится. Скачиваемый файл (oPreved.exe)
действительно имеет значок флеш-ролика, но на самом деле - это троянец,
перехватывающий пароли.
Техническая информация о данном троянце:
После запуска oPreved.exe (354 304 байта. Детектируется антивирусом Dr.Web
как Trojan.PWS.LDPinch.1061) создаются файлы:
%System%\Expllorer.exe (223 392 байта. Детектируется антивирусом Dr.Web
как Win32.HLLW.MyBot)
\%windir%\temp\xer.exe (223 392 байта. Детектируется антивирусом Dr.Web
как Win32.HLLW.MyBot) временный файл C:\a.bat
Файл Expllorer.exe прописывается в автозагрузку, создавая следующие ключи
в системном реестре:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "Shel"=Expllorer.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
"Shel"=Expllorer.exe
Передача паролей происходит через скрипт на сайте hxxp://220web.ru. Передаются
все собранные пароли в системе: icq, ftp, почтовые сервисы, dialup, trilian,
miranda и т.д.
Также Trojan.PWS.LDPinch пытается обойти межсетевые экраны: как встроенный
в операционную систему, так и некоторых сторонних разработчиков.
Специалисты призывает пользователей быть внимательными и не открывать ссылки,
пришедшие в сообщениях ICQ от неизвестных адресатов. В случае, если Ваш
компьютер поражён трояном Trojan.PWS.LDPinch, рекомендуется отключить компьютер
от локальной сети и/или Интернета, проверить его антивирусным сканером Dr.Web.
Также антивирусные аналитики рекомендуют в обязательном порядке сменить
все пароли, хранящиеся на компьютере.
Оригинал (на 28/07/2006): cybersecurity.ru
В случае обнаружения неточностей или ошибок просим Вас сообщить об этом по адресу
|