• Партнер

  • Служба вирусного
    мониторинга компании "Доктор Веб"
    сообщает о распространении по сети
    мгновенных сообщений ICQ новой модификации
    троянской программы, получившей название
    Trojan.PWS.LDPinch.1061. Вредоносный код
    распространяется в файле oPreved.exe.

    Получаемое пользователем сообщение
    содержит приглашение посмотреть "прикольную
    флэшку" и ссылку, по которой эта "флэшка"
    находится. Скачиваемый файл (oPreved.exe)
    действительно имеет значок флэш-ролика, но
    на самом деле - это троянец, перехватывающий
    пароли.

    После запуска oPreved.exe создаются файлы:
    %System%\Expllorer.exe (223 392 байта. Детектируется
    антивирусом Dr.Web как Win32.HLLW.MyBot), %windir%\temp\xer.exe
    (223 392 байта. Детектируется антивирусом Dr.Web
    как Win32.HLLW.MyBot) и временный файл C:\a.bat. Файл
    Expllorer.exe прописывается в автозагрузку,
    создавая следующие ключи в системном
    реестре:

    HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run «Shel»=Expllorer.exe;
    HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\RunServices «Shel»=Expllorer.exe.

    Передача паролей происходит через скрипт
    на сайте hxxp://220web.ru. Передаются все собранные
    пароли в системе: icq, ftp, почтовые сервисы,
    dialup, trilian, miranda и т.д. Также Trojan.PWS.LDPinch
    пытается обойти межсетевые экраны — как
    встроенный в операционную систему, так и
    некоторых сторонних разработчиков.

    Компания "Доктор Веб" призывает
    пользователей быть внимательными и не
    открывать ссылки, пришедшие в сообщениях ICQ
    от неизвестных адресатов.

    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии