Новая вирусная программа Троян ворует учетные записи почтовых ящиков

Стало известно, что вышла новая вирусная программа Trojan.Spambot, которая обладает довольно таки интересными функциями. Главная опасность нового троянца для пользователей ПК, а в частности почтовых ящиков, заключается в том, что он обладает умением воровать учетные записи популярных почтовых клиентов.

 В блоге антивирусной компании «Доктор Веб» было написано, что новый троянский вирус способен передавать злоумышленникам информацию, которая используется функцией автозаполнения форм в веб-браузерах. Размножение вредной программы выполняются через бот-сети от известных бэкдоров Backdoor.Andromeda. Вирус Trojan.Spambot.11349 имеет две составляющие: загрузчик, написанный на языке Delphi и динамическая библиотека, где сфокусирована полезная загрузка. Когда загрузчик запускается из процесса, в имени которого нет строки vcnost.e", троянец удаляет все процессы, где в именах содержатся значение svcnost, сохраняется в одной из папки на жестком диске с именем svcnost.exe и формирует ссылку в одной из области реестра, которая отвечает за автозагрузку приложений. Затем вирус Trojan.Spambot.11349 начинает собственную копию, а если она осуществляется на правах администратора, в системный реестр вносится изменения для обхода брандмауэра Windows, после чего переписываются файлы hosts, которые блокируют пользователю доступ на веб-сайты разработчиков вирусных программ. Далее загрузчик размещает в оперативной памяти компьютера динамическую библиотеку и передает ей следующие действия. Но на туристических сайтах, такие как АвиаКасса по прежнемуможно купить безопасно билеты на отдых. 

Когда динамическая библиотека получает управление, сразу же, делает проверку на наличии своей копии на жестком диске и в системный реестр записывает значение, которое состоит из девяти случайных цифр (уникальный идентификатор бота). После чего на диске сохраняется библиотека zlib и библиотека для работы с SSL. Характерная особенность нового троянского вируса то, что поле Host (отправляется ботом запросов) заполнено посторонним IP-адресом. Неординарность Trojan.Spambot.11349 проявляется в том, что программа производить последовательную отправку запросов на случайные IP-адреса. Далее устанавливается соединение с одним из трех серверов, где находятся зашифрованные адреса в теле библиотеке, и ждет получение конфигурационного файла. Если получение этого файла завершается благополучно, троянец делает строку запроса, где находятся ворованные учетные записи почтовых пользователей Microsoft Outlook и The Bat, благодаря библиотеке zlib упаковывает ее и отправляет на удаленный сервер злоумышленников. Затем идет проверка на отсылку спама с зараженного компьютера. Если проверка имеет успешный результат, с удаленного сервера троянец получает данные, которые дают возможность проводить спам-рааслку.



Опубликовал admin
27 Апр, Пятница 2012г.



Программирование для чайников.