Новый троянец маскируется под сообщения почтовой службы UPS

Новый троянец маскируется под сообщения почтовой службы UPS

В интернете зафиксированы попытки рассылки вредоносных сообщений якобы от почтовой службы UPS, который в реальности имеют своей целью рассылку троянца Trojan.Inject1.4969. Эта вредоносная программа способна похищать различную информацию, загружать с удаленных серверов другие приложения и выполнять в инфицированной системе отдаваемые злоумышленниками команды.

В последнее время, примерно с 21 июня 2012 года, участились случаи получения пользователями Интернета (в том числе и проживающими на территории России) электронных писем, отправителем которых якобы является почтовая служба UPS. В письме содержится личное обращение к получателю, а также сообщение о невозможности доставки почтового отправления. Злоумышленники предлагают потенциальной жертве заполнить приложенный к письму документ, указав правильный адрес доставки. В качестве вложения данное сообщение содержит zip-архив, внутри которого обнаруживается исполняемый файл со значком документа Microsoft Word. Если в операционной системе получателя такого письма отключено отображение расширений известных типов файлов, ничего не подозревающий пользователь может попытаться открыть этот "документ", запустив тем самым вредоносную программу.

Как сообщили в антивирусной компании "Доктор Веб", начав работу на компьютере жертвы, троянец Trojan.Inject1.4969 создает свою копию в папке Application Data учетной записи пользователя Windows, удаляет исходный файл и прописывает себя в ветвь системного реестра, отвечающую за автоматическую загрузку приложений. Затем Trojan.Inject1.4969 запускает explorer.exe, встраивает в него собственный код, после чего пытается встроиться во все процессы, работающие в данный момент в операционной системе. Внедрив собственный код в процессы explorer.exe, iexplore.exe или firefox.exe, троянец устанавливает HTTP-соединение с управляющими серверами, адреса которых записаны в его коде. Для шифрования своих запросов вредоносная программа использует стандартные функции MS Windows CryptoAPI.

Trojan.Inject1.4969 собирает информацию о профиле пользователя, из-под учетной записи которого он запущен, а также похищает и передает злоумышленникам cookies браузеров Mozilla Firefox и Internet Explorer, что потенциально грозит для пользователя компрометацией его учетных записей. Кроме того, троянец способен выполнять на инфицированном компьютере поступающие от управляющих серверов команды, в частности, перенаправлять запросы командному интерпретатору Windows, загружать и запускать, а также передавать с зараженного ПК злоумышленникам различные файлы, осуществлять поиск файлов на дисках и сообщать командному центру список файлов в заданной директории.

Источник:
CyberSecurity.ru