Новый чат-троян распространяется при помощи Yahoo Messenger и Facebook

image

Теги: троян, Facebook, вредоносное ПО

Эксперты по безопасности из Bitdefender сообщили, что троян для мгновенных сообщений заразил сотни компьютеров по всему миру.

Вредоносная программа, определена Bitdefender как Gen: Variant Downloader.167, распространяется благодаря опции мгновенного обмена сообщениями Facebook и Yahoo Messenger. Эксперты сообщают, что вредоносное ПО использует «вежливые» сообщения с зараженного компьютера, которые рассылаются по базе контактов жертвы. К примеру: «Я хочу разместить эти фотографии на Facebook, как думаешь, они нормальные?».

К сообщениям также прикреплены ссылки на популярные сервисы обмена файлами – Fileswap и Dropbox, где находится вредоносное ПО. Представители Bitdefender сообщили The Register о том, что вредоносный файл создает папку со случайным именем в Application Data и копирует себя в эту папку со случайным именем и .exe расширением.

Затем вирус создает запись в реестре «HKCU\Software\Microsoft\Windows\CurrentVersion\Run» с именем Counter Background WWAN Thread Mapper User NetBIOS. После того, как все шаги выполнены, жертва получает уведомление на экране инфицированного компьютера: «Это приложение не совместимо с данной версией Windows. Проверьте системную информацию вашего компьютера, чтобы узнать необходима вам x86 (32-разрядная) или x64 (64-разрядная) версия программы, затем свяжитесь с поставщиком программного обеспечения».

Другой исполняемый файл со случайным именем создается в той же папке - в Application Data. Этот файл запускается с двумя параметрами: WATCHDOGPROC, создавая путь к первому файлу. В конечнем итоге, файл конфигурации создается в той же папке, и вредоносная программа подключается к командованию и управлению сервером.

Согласно Bitdefender, киберпреступники могут управлять трояном для загрузки других вредоносных программ, что может создать угрозу конфиденциальности данных. Наибольшее число инфицированных компьютеров зарегистрировано в Румынии, Германии и Канаде. 


или введите имя

CAPTCHA