Доктор Веб: Новое семейство троянских программ – угроза для пользователей Facebook

Доктор Веб: Новое семейство троянских программ – угроза для пользователей Facebook

Троянские программы семейства Trojan.OneX способны рассылать спам в крупной социальной сети Facebook.

Специалисты компании Доктор Веб обнаружили новое семейство троянских вредоносных программ Trojan.OneX. После заражения компьютерной системы, вредоносные программы способны рассылать спам в социальной сети Facebook, а также через различные программы мгновенного обмена сообщениями.

На данный момент экспертам удалось обнаружить две версии этой троянской программы, которые незначительно отличаются друг от друга своими функциональными возможностями.

Trojan.OneX затрагивает только 32-разрядную версию ОС Windows, в 64-разрядной ОС вирус завершает работу сразу после загрузки текстового файла с управляющего сервера.

В результате запуска на инфицированном компьютере Trojan.OneX.1 ищет свою копию в операционной системе. Далее вредоносная программа из собственных ресурсов расшифровывает адрес удаленного сервера, с которого загружается специально сформированный текстовый файл, содержащий несколько строк на английском языке типа «hahaha! http://goo.gl[…].jpeg». Строки, которые содержатся в файле, будут впоследствии вложены в сообщения пользователя, отправляемые им в Facebook в режиме чата.

Trojan.OneX.1 обнаруживает в операционной системе активные процессы с именами firefox, iexplore и IEXPLORE и полностью встраивается в них, после чего перехватывает функции, которые отвечают за рассылку сообщений.

Вторая версия вредоносной программы Trojan.OneX.2 использует для отправки сообщений популярные программы для мгновенного обмена сообщениями. Для рассылки сообщений вирус использует процессы pidgin, skype, msnmsgr, aim, icq.exe, yahoom, ymsg_tray.exe, googletalk и xfire.exe. В момент отправки сообщения на зараженном компьютере пользователя блокируется клавиатура и мышь. Trojan.OneX.2 способен работать с конфигурационными файлами в кодировке Unicode.

В рассылаемых сообщениях содержатся ссылки на принадлежащие злоумышленникам фальшивые сайты, к примеру, поддельный сайт службы Rapidshare. Злоумышленники предлагают пользователю скачать файл в формате JPEG zip-архив, которые содержит в себе Photo14.JPG.scr — исполняемый файл (Trojan.Packed.22289) с троянцем BackDoor.IRC.Bot.1446. Эта вредоносная программа предоставляет мошенникам доступ к инфицированному компьютеру, а также дает возможность похищать личную информацию. Помимо этого, вирус также позволяет выполнять на зараженной компьютерной системе различные команды, к примеру, команду загрузки и установки различных приложений.


С отчетом компании Доктор Веб можно ознакомиться здесь.

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!