«Доктор Веб» предупреждает об эпидемиях Trojan.Packed.1198 и Trojan.PWS.Panda.31

«Доктор Веб» предупреждает об эпидемиях Trojan.Packed.1198 и Trojan.PWS.Panda.31

Компания «Доктор Веб» сообщила о резком росте в почтовом трафике за последнюю неделю количества спам-писем с приложенным архивом, в котором содержится вредоносная программа, определяемая антивирусом Dr.Web как Trojan.Packed.1198.

Компания «Доктор Веб» сообщила о резком росте в почтовом трафике за последнюю неделю количества спам-писем с приложенным архивом, в котором содержится вредоносная программа, определяемая антивирусом Dr.Web как Trojan.Packed.1198.

Исходное письмо, которое приходит пользователю, имеет яркий заголовок - «New anjelina jolie sex scandal». В теле письма находится приглашение открыть приложенный файл, в котором якобы находится порно-ролик. Стоит отметить, что данный прием широко распространен в современных спам-рассылках, однако последняя стала настолько массовой (более 50% всего инфицированного почтового трафика в пиковые часы по данным по данным сервера статистики компании «Доктор Веб»), что Trojan.Packed.1198 заразилось множество пользователей, как в России, так и по всему миру.

Архив, приложенный к письму, содержит установщик вредоносной программы на компьютер пользователя - anjelina_video.exe размером 44 032 байта. В свою очередь он содержит файл, определяемый Dr.Web как Trojan.MulDrop.17829. Вредоносная программа проверяет, не установлены ли уже в системе некоторые из известных видов лже-антивирусов (различные модификации Trojan.FakeAlert). В случае наличия их в системе, Trojan.MulDrop.17829 завершает работу и удаляет себя. Если же никаких признаков лжеантивирусов не обнаруживается, троянец принимается за активные действия.

Прежде всего, Trojan.MulDrop.17829 расшифровывает находящийся внутри него файл и сохраняет его в системном каталоге с именем brastk.exe. Сохраненный файл тоже определяется как Trojan.Packed.1198, т.к. в нем используется упаковщик, схожий с тем, что используется в исходном файле. Также в системе сохраняется файл figaro.sys. При загрузке драйвера троян временно заменяет им драйвер beep.sys, что позволяет маскировать запуск своих драйверов от многих антируткит-утилит. В завершение троян уничтожает исходный файл и перезагружает систему.

Активность трояна состоит в изменении настроек зон безопасности Windows, отключении предупреждения Windows об отсутствии антивируса, выключенном встроенном файерволле, а также обновлений. При этом встроенный файерволл также отключается. Затем троян удаляет из реестра данные расширений Internet Explorer и устанавливает в качестве поискового движка Google, также меняя стартовую страницу на www.google.com. В конце концов, троян выводит сообщение о том, что компьютер инфицирован и предлагает скачать средство борьбы. Интересная особенность заключается в том, что он скачивает вредоносные файлы ещё до вывода сообщения о заражении системы пользователя.

Пик спам-рассылок с Trojan.Packed.1198 пришелся на 20-22 октября. С 25 октября в практически идентичных письмах началась рассылка вредоносных программ, определяемых Dr.Web как Trojan.PWS.Panda.31.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!