10:30 18.11.2012 |   1041



Письма содержат предложение загрузить лицензию на Microsoft Windows, однако пользователь, переходящий по ссылке, заражается сразу двумя вредоносными программами, которые могут в любой момент переправить на компьютеры жертв другой вредоносный код.

Компания «Доктор Веб» предупредила пользователей о широком распространении вредоносного спама якобы от Amazon.com. Письма содержат предложение загрузить лицензию на Microsoft Windows, однако пользователь, переходящий по ссылке, заражается сразу двумя вредоносными программами (Trojan.Necurs.97 и BackDoor.Andromeda.22), которые могут в любой момент переправить на компьютеры жертв другой вредоносный код.

Сообщения, отправителем которых якобы является Amazon.com, имеют заголовок Order N [случайное число] и следующее содержимое: Hello, You can download your Microsoft Windows License here. Microsoft Corporation.

Каждое сообщение содержит ссылку на веб-страницу, включающую сценарий, при выполнении которого посетитель переадресовывается на другой веб-сайт. В свою очередь этот сайт передает браузеру файл, содержащий сценарий на языке JavaScript, при выполнении которого на компьютер пользователя загружаются известный троянец-загрузчик BackDoor.Andromeda.22 и вредоносная программа Trojan.Necurs.97.

Троянец Trojan.Necurs.97 обладает способностью к саморазмножению, в том числе может инфицировать съемные накопители и общие ресурсы локальной сети. После запуска он создает в отдельной папке исполняемый файл, а также вносит изменения в системный реестр с целью обеспечить автоматический запуск данного файла в процессе загрузки Windows. После этого троянец ищет в памяти запущенные процессы браузеров Internet Explorer и Mozilla Firefox и в случае их обнаружения пытается встроить в них собственный код. Затем Trojan.Necurs.97 пытается скопировать себя на все доступные в системе съемные носители, сохраняя на них собственную копию под случайным именем, после чего создает в корневой папке накопителя файл autorun.inf, обеспечивая автоматический запуск троянца при каждом подключении устройства.

Далее Trojan.Necurs.97 устанавливает соединение с принадлежащими злоумышленникам удаленными серверами, сообщает об успешной установке в инфицированную систему и ожидает поступления команд, среди которых можно отметить команду загрузки на зараженный компьютер различных приложений и передачу на удаленный сервер файлов с локального компьютера.


Теги: Информационная безопасность