24 октября 2012 года
Компания «Доктор Веб» предупреждает пользователей о
широком распространении с 22 октября 2012 года вредоносного спама якобы
от популярного интернет-магазина Amazon.com. Эти письма
содержат предложение загрузить лицензию на Microsoft Windows, однако,
переходя по ссылке, пользователь заражается сразу двумя вредоносными
программами (Trojan.Necurs.97 и BackDoor.Andromeda.22), которые готовы в
любой момент по заказу злоумышленников переправить на компьютеры жертв
другое вредоносное ПО.
С 22 октября 2012 года пользователи Интернета стали регулярно
получать по электронной почте сообщения, отправителем которых якобы
является интернет-магазин Amazon.com. Письма имеют заголовок Order N
[случайное число] и следующее содержимое:
Hello,
You can download your Microsoft Windows License here.
Microsoft Corporation
Каждое такое сообщение содержит ссылку на веб-страницу, включающую
сценарий, при выполнении которого посетитель переадресовывается на
другой веб-сайт. В свою очередь этот сайт передает браузеру файл,
содержащий сценарий на языке JavaScript, при выполнении которого на
компьютер пользователя загружаются две вредоносные программы: широко
известный троянец-загрузчик BackDoor.Andromeda.22 и вредоносная программа Trojan.Necurs.97.
Троянец Trojan.Necurs.97
обладает способностью к саморазмножению, в том числе может инфицировать
съемные накопители и общие ресурсы локальной сети. После своего запуска
троянец создает в отдельной папке исполняемый файл, а также вносит
изменения в системный реестр с целью обеспечить автоматический запуск
данного файла в процессе загрузки Windows. После этого троянец ищет в
памяти запущенные процессы браузеров Internet Explorer и Mozilla Firefox
и в случае их обнаружения пытается встроить в них собственный код.
Затем Trojan.Necurs.97
пытается скопировать себя на все доступные в системе съемные носители,
сохраняя на них собственную копию под случайным именем, после чего
создает в корневой папке накопителя файл autorun.inf с целью обеспечения
автоматического запуска троянца при каждом подключении устройства.
Троянец Trojan.Necurs.97
устанавливает соединение с принадлежащими злоумышленникам удаленными
серверами, сообщает об успешной установке в инфицированную систему и
ожидает поступления команд, среди которых можно отметить команду
загрузки на зараженный компьютер различных приложений и передачу на
удаленный сервер файлов с локального компьютера.
Специалисты компании «Доктор Веб» призывают пользователей проявлять
осторожность и не переходить по ссылкам в сообщениях электронной почты,
полученных из неизвестных источников.
Главная 
