"Превед" для ICQ
По сообщению службы вирусного мониторинга компании "Dr. Web", по сети мгновенных сообщений ICQ распространилась новая модификация троянской программы, получившей название Trojan.PWS.LDPinch.1061. Вредоносный код заложен в файле oPreved.exe.
Получаемое пользователем сообщение содержит приглашение посмотреть "прикольную флэшку" и ссылку, по которой эта "флэшка" находится. Скачиваемый файл (oPreved.exe) имеет значок флэш-ролика, но это – троян, перехватывающий пароли. После запуска oPreved.exe создаются файлы: %System%\Expllorer.exe (223 392 байта. Детектируется антивирусом Dr.Web как Win32.HLLW.MyBot), %windir%\temp\xer.exe (223 392 байта. Детектируется антивирусом Dr.Web как Win32.HLLW.MyBot) и временный файл C:\a.bat. Файл Expllorer.exe прописывается в автозагрузку, создавая следующие ключи в системном реестре: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run «Shel»=Expllorer.exe; HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServices «Shel»=Expllorer.exe. Пароли передаются через скрипт на сайте hxxp://220web.ru. Собираются все пароли в системе: icq, ftp, почтовые сервисы, dialup, trilian, miranda и т.д. Также Trojan.PWS.LDPinch пытается обойти фаерволы — как встроенный в операционную систему, так и некоторых сторонних разработчиков. Компания "Dr. Web" призывает пользователей быть внимательными и не открывать ссылки, пришедшие в сообщениях ICQ от неизвестных адресатов. CNews.ru |
Часовой пояс GMT +3, время: 23:59. |
Powered by vBulletin
Copyright ©2000-2024, Jelsoft Enterprises Ltd.