Троян Trojan.MailGrab.61 накручивает статистку сайтов и собирает адреса почты

Тема в разделе "Новости информационной безопасности", создана пользователем Severnyj, 2 июл 2011.

  1. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    «Доктор Веб» обращает внимание пользователей на угрозу заражения персональных компьютеров вредоносной программой Trojan.MailGrab.61. Этот троянец предназначен для повышения посещаемости указанных злоумышленниками сайтов и сбора адресов электронной почты

    Проникнув в операционную систему, Trojan.MailGrab.61 создает во временной папке свою копию со случайным именем и расширением .dll, после чего согласно встроенному в него списку возможных путей установки наиболее популярных программ пытается создавать в них собственные копии с именем характерной для каждого приложения динамической библиотеки. Затем троянец копирует себя в директорию установки используемого по умолчанию браузера под видом одной из них, на случай если в его списке отсутствует браузер пользователя. В перечне приложений, которые способен инфицировать Trojan.MailGrab.61, присутствует множество ftp-клиентов и такие программы как Outlook Express, The Bat!, Windows Mail, Windows Media Player, WinRAR, PHP Expert Editor, Notepad ++, Windows PhotoViever, DVD Maker, Total Commander, FAR, а также некоторые другие. Поскольку системный загрузчик по умолчанию ищет необходимые библиотеки сначала в текущей папке, то в момент старта инфицированной программы Trojan.MailGrab.61 загружается в адресное пространство ее процесса под видом стандартной динамической библиотеки и отмечает свой изначальный установщик на удаление после перезагрузки системы.

    Будучи загруженной в память, данная вредоносная программа определяет версию операционной системы и пытается установить, является ли процесс, в который она внедрилась, браузером. Если это действительно так, Trojan.MailGrab.61 отправляет на принадлежащий злоумышленникам сервер сообщение об успешной установке, а в ответ получает зашифрованный список URL сайтов, посещаемость которых следует повысить. Вслед за этим троянец начинает отправлять на эти сайты циклические http-запросы. Троянская программа перехватывает все отправляемые в сеть данные и сканирует их на наличие адресов электронной почты, которые в случае обнаружения сохраняются в файле Windows\inf\jer.pnf. Содержимое этого файла также передается злоумышленникам, а после успешной отсылки данной информации — удаляется. Таким образом троянец пополняет спамерские базы данных.

    Для удаления этой вредоносной программы достаточно проверить операционную систему сканером Dr.Web, который входит в состав любого антивирусного продукта компании «Доктор Веб» для ОС Microsoft Windows.

    Источник
     
    4 пользователям это понравилось.

Поделиться этой страницей