Кампанія «Доктар Вэб» паведамляе аб рэзкім росце ў паштовым трафіку за апошні тыдзень колькасці спам-лістоў з прыкладзеным архівам, у якім утрымоўваецца шкоднасная праграма, вызначаная антывірусам Dr.Web як Trojan.Packed.1198.

Зыходны ліст, якое прыходзіць карыстачу, мае яркі загаловак - «New anjelina jolie sex scandal». У целе ліста знаходзіцца запрашэнне адкрыць прыкладзены файл, у якім нібы знаходзіцца порна-ролік. Варта адзначыць, што дадзены прыём шырока распаўсюджаны ў сучасных спам-рассыланнях, аднак апошняя стала настолькі масавай (больш 50% усяго інфікаванага паштовага трафіку ў пікавыя гадзіны па дадзеных па дадзеных сервера статыстыкі кампаніі «Доктар Вэб»), што Trojan.Packed.1198 заразілася мноства карыстачоў, як у Расеі, так і па ўсім міры.

Архіў, прыкладзены да ліста, утрымоўвае ўсталёўнік шкоднаснай праграмы на кампутар карыстача - anjelina_video.exe памерам 44 032 байта. У сваю чаргу ён утрымоўвае файл, вызначаны Dr.Web як Trojan.MulDrop.17829. Шкоднасная праграма правярае, не ці ўсталяваныя ўжо ў сістэме некаторыя з вядомых выглядаў лже-антывірусаў (розныя мадыфікацыі Trojan.FakeAlert). У выпадку наяўнасці іх у сістэме, Trojan.MulDrop.17829 завяршае працу і выдаляе сябе. Калі жа ніякіх прыкмет лжеантивирусов не выяўляецца, траянец прымаецца за актыўныя дзеянні.

Першым чынам, Trojan.MulDrop.17829 расшыфроўвае змешчанага ўсярэдзіне яго файл і захоўвае яго ў сістэмным каталогу з імем brastk.exe. Захаваны файл таксама вызначаецца як Trojan.Packed.1198, т.к. у ім выкарыстоўваецца пакавальнік, падобны з тым, што выкарыстоўваецца ў зыходным файле. Таксама ў сістэме захоўваецца файл figaro.sys. Пры загрузцы драйвера траян часова замяняе ім драйвер beep.sys, што дазваляе маскіраваць запуск сваіх драйвераў ад шматлікіх антируткит-утыліт. У завяршэнне траян знішчае зыходны файл і перазагружае сістэму.

Актыўнасць траяна складаецца ў змене налад зон бяспекі Windows, адключэнні папярэджання Windows аб адсутнасці антывіруса, выключаным убудаваным файерволле, а таксама абнаўленняў. Пры гэтым убудаваны файерволл таксама адключаецца. Затым траян выдаляе з рэестру дадзеныя пашырэнняў Internet Explorer і ўсталёўвае ў якасці пошукавага рухавічка Google, таксама змяняючы стартавую старонку на www.google.com. У выніку, траян выводзіць паведамленне аб тым, што кампутар інфікаваны і прапаноўвае запампаваць сродак дужання. Цікавая асаблівасць складаецца ў тым, што ён запампоўвае шкоднасныя файлы яшчэ да высновы паведамлення аб заражэнні сістэмы карыстача.

Пік спам-рассыланняў з Trojan.Packed.1198 прыйшоўся на 20-22 кастрычніка. З 25 кастрычніка ў практычна ідэнтычных лістах пачалася рассыланне шкоднасных праграм, вызначаных Dr.Web як Trojan.PWS.Panda.31.

Кампанія «Доктар Вэб» перасцерагае ўсіх карыстачоў ад запуску ўкладанняў з лістоў, якія прыходзяць з невядомых адрасоў, і раіць быць больш пільнымі да разгляду прапаноў вірусастваральнікаў. У выпадку ўсталёўкі антывіруса Dr.Web на ўжо інфікаваную сістэму, усе пагрозы Trojan.Packed.1198 будуць аператыўна нейтралізаваныя. Таксама можна скарыстацца бясплатнай якая лечыць утылітай Dr.Web Cure It.

рэкамендуем прачытаць таксама

• «Доктар Вэб» папярэджвае аб эпідэміях Trojan.Packed.1198 і Trojan.PWS.Panda.31
• ЛК: Рэйтынг шкоднасных праграм у лютым 2009 гады
• ЛК: Вірусную “дваццатку” сакавіка ўзначаліў чарвяк Conficker
• ЛК: Рэйтынг шкоднасных праграм за верасень 2008
• ЛК: Рэйтынг шкоднасных праграм за жнівень

Каментаванне не дазволенае.