Служба вирусного
мониторинга компании "Доктор Веб"
сообщает о распространении по сети
мгновенных сообщений ICQ новой модификации
троянской программы, получившей название
Trojan.PWS.LDPinch.1061. Вредоносный код
распространяется в файле oPreved.exe.

Получаемое пользователем сообщение
содержит приглашение посмотреть "прикольную
флэшку" и ссылку, по которой эта "флэшка"
находится. Скачиваемый файл (oPreved.exe)
действительно имеет значок флэш-ролика, но
на самом деле — это троянец, перехватывающий
пароли.

После запуска oPreved.exe создаются файлы:
%System%\Expllorer.exe (223 392 байта. Детектируется
антивирусом Dr.Web как Win32.HLLW.MyBot), %windir%\temp\xer.exe
(223 392 байта. Детектируется антивирусом Dr.Web
как Win32.HLLW.MyBot) и временный файл C:\a.bat. Файл
Expllorer.exe прописывается в автозагрузку,
создавая следующие ключи в системном
реестре:

HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run «Shel»=Expllorer.exe;
HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\RunServices «Shel»=Expllorer.exe.

Передача паролей происходит через скрипт
на сайте hxxp://220web.ru. Передаются все собранные
пароли в системе: icq, ftp, почтовые сервисы,
dialup, trilian, miranda и т.д. Также Trojan.PWS.LDPinch
пытается обойти межсетевые экраны — как
встроенный в операционную систему, так и
некоторых сторонних разработчиков.

Компания "Доктор Веб" призывает
пользователей быть внимательными и не
открывать ссылки, пришедшие в сообщениях ICQ
от неизвестных адресатов.



Оставить мнение