|
Троян "Превед" атакує через ICQ |
|
|
|
Написав Editor
|
|
Wednesday, 02 August 2006 |
 Служба вірусного моніторингу компанії "Доктор веб" повідомляє про розповсюдження по мережі миттєвих повідомлень ICQ нової модифікації троянської програми, що одержала назву Trojan.PWS.LDPinch.1061. Шкідливий код розповсюджується у файлі oPreved.exe.
Одержуване користувачем повідомлення містить запрошення подивитися "прикольную флешку" і посилання, по якому ця "флешка" знаходиться. Файл (oPreved.exe) дійсно має значок флеш-ролика, але насправді — це троян, що перехоплює паролі.
Після запуску oPreved.exe створюються файли: %System%\Expllorer.exe (223 392 байти. Детектує антивірусом Dr.Web як Win32.HLLW.MyBot), %windir%\temp\xer.exe (223 392 байти. Детектує антивірусом Dr.Web як Win32.HLLW.MyBot) і тимчасовий файл З:\a.bat. Файл Expllorer.exe прописується в автозавантаження, створюючи наступні ключі в системному реєстрі: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
«Shel»=Expllorer.exe;HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices «Shel»=Expllorer.exe.
Передача паролів відбувається через скрипт на сайті hxxp://220web.ru. Передаються всі зібрані паролі в системі: icq, ftp, поштові сервіси, dialup, trilian, miranda і т.д. Також Trojan.PWS.LDPinch намагається обійти міжмережеві монітори — як вбудовані в операційну систему, так і деяких сторонніх розробників.
Компанія "Доктор веб" закликає користувачів бути уважними і не відкривати посилання, що прийшли в повідомленнях ICQ від невідомих адресатів. |
Про це говорять! 
