Троян SpamtaLoad.DO распространяется в электронных сообщениях с такими
темами, как, например, “Ошибка (Error)”, “Добрый день (Good day)” или “привет
(hello)”. Текст письма может быть разным, но обычно в нем содержится сообщение
об ошибке от отправителя. Сам троян прячется в исполняемом вложении под
разными именами. Когда пользователь запускает зараженный файл, троян демонстрирует
сообщение об ошибке. В других случаях он показывает файл блокнота с текстом.
Данный вредоносный код предназначен для загрузки червя Spamta.TQ на пораженный
компьютер и рассылки SpamtaLoad.DO по всем электронным адресам, найденным
в зараженной системе. “SpamtaLoad.DO – это последний из выявленных членов
семейства Spamta, один из наиболее активных кодов за прошедшие несколько
месяцев. Как и предыдущие версии, SpamtaLoad.DO сумел получить широкое распространение
и присутствовал в 40% зараженных сообщений, ежечасно получаемых PandaLabs,”
рассказывает Луис Корронс, технический директор PandaLabs. Вторым мы рассмотрим
трояна ArmyMovement.A. Он проникает в компьютер с электронной почтой или
файловыми загрузками и при запуске копируется в систему. Специально разработанный
для кражи адресов электронной почты, хранящихся в Outlook, он рассылает
по всем таким адресам сообщение-розыгрыш о том, что турецкое правительство
приняло решение на 50% поднять зарплаты солдат и госслужащих. Темы и тексты
таких сообщений написаны на турецком языке. “Подобные сообщении обычно предвещают
опасную атаку. Последующие сообщения с такой же темой могут содержать ссылку
на оригинал статьи. Если пользователь переходит по такой ссылке – он заражается,”
говорит Корронс. ArmyMovement.A становится причиной нескольких ошибок на
зараженных компьютерах. Например, он модифицирует файл загрузки и тот демонстрирует
сообщение, подсказывающее пользователям отформатировать жесткий диск. Также
он вносит изменения в файл ntldr, что не дает компьютеру перезагружаться.
Данный вредоносный код переписывает файлы с другими расширениями (.jpg,
.xls, .doc, .zip…), что становится причиной потери информации. Троян Lozyt.A
попадает в компьютеры вместе с электронной почтой или загрузками файлов.
Сразу после запуска он подключается к удаленному серверу и загружает исполняемый
файл, который устанавливает рекламную программу Errorsafe на зараженный
компьютер. Lozyt.A также прекращает несколько процессов, среди них некоторые
из процессов решений безопасности. Он всеми силами старается подольше остаться
незамеченным. И в последнюю очередь мы рассмотрим червя Muhi.A. Для распространения,
он копируется на все системные диски, включая съемные накопители (USB карты
памяти, и др.) Этот червь уничтожает содержимое накопителей, в которых находятся
его копии. Muhi.A также распространяется через общие папки, под такими названиями
как: “I_LOVE_YOU.exe”, “download.exe” или “window shopper.exe”. Копии червя
отображаются со значком Блокнота, чтобы обмануть пользователя. Этот червь
прерывает процессы некоторых решений безопасности. Он также изменяет реестр
для того, чтобы система не смогла предупредить о таких ошибках. Кроме того,
Muhi.A изменяет стартовую страницу Internet Explorer.