Компания «Доктор Веб» сообщила о широком распространении вредоносного
спама якобы от популярного интернет-магазина Amazon.com. Эти письма
содержат предложение загрузить лицензию на Microsoft Windows, однако,
переходя по ссылке, пользователь заражается сразу двумя вредоносными
программами (Trojan.Necurs.97 и BackDoor.Andromeda.22), которые готовы в
любой момент по заказу злоумышленников переправить на компьютеры жертв
другое вредоносное ПО.
Письма имеют заголовок Order N [случайное число] и следующее содержимое:
Hello,
You can download your Microsoft Windows License here.
Microsoft Corporation
Каждое
такое сообщение содержит ссылку на веб-страницу, включающую сценарий,
при выполнении которого посетитель переадресовывается на другой
веб-сайт. В свою очередь этот сайт передает браузеру файл, содержащий
сценарий на языке JavaScript, при выполнении которого на компьютер
пользователя загружаются две вредоносные программы: широко известный
троянец-загрузчик BackDoor.Andromeda.22 и вредоносная программа
Trojan.Necurs.97.
Троянец Trojan.Necurs.97 обладает способностью к саморазмножению, в
том числе может инфицировать съемные накопители и общие ресурсы
локальной сети. После своего запуска троянец создает в отдельной папке
исполняемый файл, а также вносит изменения в системный реестр с целью
обеспечить автоматический запуск данного файла в процессе загрузки
Windows. После этого троянец ищет в памяти запущенные процессы браузеров
Internet Explorer и Mozilla Firefox и в случае их обнаружения пытается
встроить в них собственный код. Затем Trojan.Necurs.97 пытается
скопировать себя на все доступные в системе съемные носители, сохраняя
на них собственную копию под случайным именем, после чего создает в
корневой папке накопителя файл autorun.inf с целью обеспечения
автоматического запуска троянца при каждом подключении устройства.
Троянец
Trojan.Necurs.97 устанавливает соединение с принадлежащими
злоумышленникам удаленными серверами, сообщает об успешной установке в
инфицированную систему и ожидает поступления команд, среди которых можно
отметить команду загрузки на зараженный компьютер различных приложений и
передачу на удаленный сервер файлов с локального компьютера.
Источник:
спама якобы от популярного интернет-магазина Amazon.com. Эти письма
содержат предложение загрузить лицензию на Microsoft Windows, однако,
переходя по ссылке, пользователь заражается сразу двумя вредоносными
программами (Trojan.Necurs.97 и BackDoor.Andromeda.22), которые готовы в
любой момент по заказу злоумышленников переправить на компьютеры жертв
другое вредоносное ПО.
Письма имеют заголовок Order N [случайное число] и следующее содержимое:
Hello,
You can download your Microsoft Windows License here.
Microsoft Corporation
Каждое
такое сообщение содержит ссылку на веб-страницу, включающую сценарий,
при выполнении которого посетитель переадресовывается на другой
веб-сайт. В свою очередь этот сайт передает браузеру файл, содержащий
сценарий на языке JavaScript, при выполнении которого на компьютер
пользователя загружаются две вредоносные программы: широко известный
троянец-загрузчик BackDoor.Andromeda.22 и вредоносная программа
Trojan.Necurs.97.
том числе может инфицировать съемные накопители и общие ресурсы
локальной сети. После своего запуска троянец создает в отдельной папке
исполняемый файл, а также вносит изменения в системный реестр с целью
обеспечить автоматический запуск данного файла в процессе загрузки
Windows. После этого троянец ищет в памяти запущенные процессы браузеров
Internet Explorer и Mozilla Firefox и в случае их обнаружения пытается
встроить в них собственный код. Затем Trojan.Necurs.97 пытается
скопировать себя на все доступные в системе съемные носители, сохраняя
на них собственную копию под случайным именем, после чего создает в
корневой папке накопителя файл autorun.inf с целью обеспечения
автоматического запуска троянца при каждом подключении устройства.
Троянец
Trojan.Necurs.97 устанавливает соединение с принадлежащими
злоумышленникам удаленными серверами, сообщает об успешной установке в
инфицированную систему и ожидает поступления команд, среди которых можно
отметить команду загрузки на зараженный компьютер различных приложений и
передачу на удаленный сервер файлов с локального компьютера.
Источник:
» Шифровальщик CryptXXX 3.0 обезвредили!
» Вымогатель Kangaroo блокирует пользователям доступ к Windows
» Microsoft заявляет, что новую 0-day уязвимость в Windows используют хакеры из Fancy Bear
» 360 Total Security 8.8.0.1083 [Multi/Ru]
» SecureAPlus Freemium 4.3.3 [Multi/Ru]
» GridinSoft Anti-Malware [Multi/Ru] - антивирусная утилита!
» Новый вариант трояна Kovter маскируется под обновления для Firefox
» Эксперт представил способ похищения данных через кулер компьютера