Как сообщает Trend Micro, в сети недавно был обнаружен вирус, который копирует из заражённой системы Word- и Excel-файлы и загружает их на файлообменник Sendspace.com. Как известно, это файловый хостинг, позволяющий посылать, получать, отслеживать и раздавать объёмные файлы.
В последнее время сервис Sendspace уже использовался для хранения украденных злоумышленниками данных, однако они загружались туда вручную, а не самими вредоносами. Обнаруженный специалистами Trend Micro случай стал первым, когда эта задача автоматизирована.
Заражение компьютера начинается с загрузки вирусного файла Fedex_Invoice.exe, содержащего троян TROJ_DOFOIL.GE. Название файла указывает на то, что его используют для рассылки мошеннических спам-сообщений, в частности, уведомлений об отправке компании FedEx. Trend Micro сообщает о том, что ведутся поиски сообщений такого рода.
Будучи запущенным, TROJ_DOFOIL.GE загружает и устанавливает TSPY_SPCESEND.A. Это троян, ищущий на жёстком диске инфицированной системы файлы MS Word и Excel и действующий по принципу «нашёл и смылся». Полученные документы затем помещаются в папку с временными файлами пользователя в виде запароленного архива. Вот один из примеров таких архивов:
После того, как архив был создан, TSPY_SPCESEND.A отсылает его на Sendspace.com:
После загрузки вирус получает ссылку на скачивание на Sendspace, отсылает её и пароль к архиву на командный сервер:
А вот скриншот страницы Sendspace, которая ведёт к архиву собранных документов:
Бесплатные онлайн-сервисы, которые вирусописатели используют в своих целях, по словам специалистов Trend Micro, ничего не знают об их таком применении. Использование публичных файлообмеников — остроумный шаг со стороны кибермошенников, поскольку в данном случае отпадает необходимость использования серверов, на которых хранятся большие по объёму данные. По мнению евангелиста Trend Micro Айвана Макалинтала (Ivan Macalintal), такой метод хранения украденных данных может стать весьма популярным у компьютерных злоумышленников.
