Внимание! Доктор Веб зафиксировал вредоносную рассылку
Специалисты компании «Доктор Веб» зафиксировали рассылку спама с целым набором вредоносных модулей, позволяющих шпионить за пользователем и похищать конфиденциальную информацию. Массовая рассылка вредоносных вложений по электронной почте — один из самых популярных методов распространения троянцев.
Злоумышленники стараются составить текст сообщения таким образом, чтобы получатель самостоятельно открыл приложенный к письму файл, что приведет к заражению компьютера.
В течение последних нескольких дней по электронной почте активно распространяются сообщения с темой «Оплату произвели» от имени некоей компании ООО «Глобальные Системы».
К письму прилагается архив размером более 4 МБ. Он содержит исполняемый файл с расширением .JPG[несколько десятков пробелов].exe, добавленный в вирусную базу Dr.Web под именем Trojan.MulDrop7.24844. Если пользователь попытается открыть это «изображение», программа запустится на выполнение.
Приложение представляет собой упакованный контейнер. В момент старта эта программа проверяет, что она запущена в единственном экземпляре, а затем сохраняет на диск библиотеку для обхода системы контроля учетных записей пользователя. Затем Trojan.MulDrop7.24844 регистрирует себя в автозагрузке и пытается извлечь и сохранить в текстовом файле пароли из браузеров Google Chrome и Mozilla Firefox.
Trojan.MulDrop7.24844 запускает на зараженном компьютере приложение для удаленного администрирования и зашифрованный Autoit-контейнер. Эти программы предназначены для перехвата паролей открытых сессий в Windows, а также активируют кейлоггер, записывающий в файл информацию о нажатых пользователем клавишах, и создает в момент запуска снимок экрана.
Троянец открывает злоумышленникам удаленный доступ к зараженной машине, затем с помощью утилиты пытается получить пароль от учетной записи текущего пользователя. Этот пароль в дальнейшем используется для организации связи с зараженным ПК. В результате такого несанкционированного подключения злоумышленники могут получить полный контроль над атакованным компьютером.
Сигнатура Trojan.MulDrop7.24844 добавлена в вирусную базу Dr.Web, поэтому троянец не представляет опасности для пользователей. Сохраняйте бдительность и удаляйте подозрительные вложения в электронных письмах.