В спам-сообщениях от почтовой службы UPS распространяется троян

24/06/2012 13:28

В последнее время, примерно с 21 июня 2012 года, участились случаи получения пользователями Интернета (в том числе и проживающими на территории России) электронных писем, отправителем которых якобы является почтовая служба UPS. В письме содержится личное обращение к получателю, а также сообщение о невозможности доставки почтового отправления. Злоумышленники предлагают потенциальной жертве заполнить приложенный к письму документ, указав правильный адрес доставки. В качестве вложения данное сообщение содержит zip-архив, внутри которого обнаруживается исполняемый файл со значком документа Microsoft Word. Если в операционной системе получателя такого письма отключено отображение расширений известных типов файлов, ничего не подозревающий пользователь может попытаться открыть этот «документ», запустив тем самым троян Trojan.Inject1.4969. Начав работу на компьютере жертвы, вредонос создает свою копию в папке Application Data учетной записи пользователя Windows, удаляет исходный файл и помещает себя в автозапуск системы. Затем Trojan.Inject1.4969 запускает "explorer.exe", встраивает в него собственный код, после чего пытается внедриться во все процессы, активные на данный момент в операционной системе. Внедрив собственный код в процессы "explorer.exe", "iexplore.exe" и "firefox.exe", троян устанавливает HTTP-соединение с управляющими серверами, адреса которых записаны в его коде. Для шифрования своих запросов вредоносная программа использует системные функции CryptoAPI. Trojan.Inject1.4969 собирает информацию о профиле пользователя, из-под учетной записи которого он запущен, а также похищает и передает злоумышленникам cookies-файлы браузеров Mozilla Firefox и Internet Explorer, что потенциально грозит для пользователя компрометацией используемых учетных записей веб-сервисов. Кроме того, троян способен выполнять на инфицированном компьютере поступающие от управляющих серверов команды, в частности, перенаправлять запросы командному интерпретатору Windows, загружать и запускать, а также передавать с зараженного ПК злоумышленникам различные файлы, осуществлять поиск файлов на дисках и сообщать командному центру список файлов в заданной директории. Антивирусные специалисты рекомендуют осмотрительней относиться к открытию сомнительных сообщений, тем более не производить открытие вложений без предварительной проверки на вирусы.
Источник