На этой неделе в традиционном отчете PandaLabs содержится информация об опасном трояне Harrenix.A, который маскируется под трейлер к последнему фильму о Гарри Поттере. Также рассматриваются два червя, Moaphie.A и Trixcu.A, и троян Suarabh.A.
Harrenix.A – это троян, который проникает в компьютеры под видом трейлера к грядущей премьере фильма о Гарри Поттере. Однако после того, как пользователь запускает файл, вместо просмотра трейлера компьютер заражается трояном. Для того, чтобы не вызвать подозрений, вредоносный код демонстрирует пользователю сообщение об отсутствии необходимого кодека, из-за чего ролик недоступен для просмотра, и советует посетить официальный вебсайт фильма.
“Совсем недавно мы столкнулись с похожим случаем перед премьерой фильма Пираты Карибского моря. Кибер-преступники пользуются интересом владельцев ПК к этим фильмам и обманом заставляют их открывать файлы, содержащие вредоносное ПО,” объясняет Луис Корронс, технический директор PandaLabs.
Сразу же после заражения компьютера, этот троян загружает на него программу-дозвонщика, обнаруженную PandaLabs под названием Dialer.KJD. Данная программа предназначена для установления соединения с интернетом по высокотарифицируемым номерам, в результате чего пользователи затем получают огромные счета.
Moaphie.A – это червь, который при заражении компьютера изменяет домашнюю страницу Internet Explorer, установленную пользователем, на страницу с вредоносным содержимым.
Этот червь собирает с зараженного компьютера нужную ему информацию, которую затем пересылает своему создателю по электронной почте при помощи шаблона с указанными именем компьютера и именем пользователя, который был залогинен на момент заражения компьютера.
Moaphie.A распространяется путем создания своих копий в корневой директории других носителей информации, таких как карты памяти USB. Он также создает на таких носителях файл под названием autorun.inf для того, чтобы обеспечить себе возможность автоматического запуска.
Червь также способен распространяться по системам мгновенных сообщений. Для этого каждые 10 миллисекунд он отслеживает открытые окна с “диалогами” английской версии системы для обмена мгновенными сообщениями MSN Messenger. При обнаружении открытого окна, он отправляет ссылку на веб-страницу, содержащую копию червя, по всем контактам пользователя, подключенным в данный момент.
“Сервисы для обмена мгновенными сообщениями, такие как MSN Messenger, Yahoo! Messenger, AIM и др., сегодня имеют невероятную популярность как на рабочих ПК, так и на домашних компьютерах. Именно эта популярность и превратила их в великолепное средство для распространения вредоносного кода, благодаря чему оно теперь может попасть в большее количество компьютеров," говорит Корронс.
Moaphie.A подключается к веб-странице, с которой загружает копию самого себя. Для того, чтобы его невозможно было удалить во время работы, этот червь постоянно проверяет наличие открытых окон, содержащих текстовую информацию. При обнаружении он их просто принудительно закрывает.
Когда пользователь логинится, этот червь демонстрирует сообщение об ошибке следующего содержания: Fatal Error: kernel32.dll can't be loaded.
Moaphie.A также выполняет другие вредоносные действия, такие как принудительное отделение от интерфейса панели задач, на которой написан следующий текст: THE WORLD-WIDE DONT ACCEPT COMMAND PROMPT!!!!
Далее мы рассмотрим червя Trixcu.A. При запуске этот червь демонстрирует сообщение об ошибке. Он копирует себя в систему и редактирует реестр Windows. Одно из вносимых им изменений позволяет ему автоматически запускаться при перезагрузке компьютера.
Кроме того, он пытается изменить название компании, на которую зарегистрирована операционная система. Червь распространяется путем создания своих копий на съемных носителях компьютера.
Троян Suarabh.A предназначен для записи всех нажимаемых клавиш, что позволяет ему красть все виды конфиденциальной информации, вводимой пользователем. Этот троян также создает отчет о запущенных на компьютере приложениях.
Suarabh.A изменяет свойства папок, превращая их в скрытые или предназначенные только для чтения. Он также редактирует некоторые записи Реестра. Одно из таких изменений позволяет ему отключить меню, помогающее пользователям редактировать свойства папки, другое – запрещает использование Редактора реестра Windows. За счет этого троян старается сохранить внесенные им изменения.
Источник:
PandaLabs
|