Комп'ютерні новини > Троян "Превед" атакує через ICQ

Троян "Превед" атакує через ICQ


1 серпня 2006. Разместил: npetia

Служба вірусного моніторингу компанії "Доктор Веб " повідомляє про розповсюдження по мережі миттєвих повідомлень ICQ нової модифікації троянської програми, що отримала назву Trojan.PWS.LDPinch.1061. Шкідливий код розповсюджується у файлі oPreved.exe.
Отримуване користувачем повідомлення містить запрошення подивитися "прикольну флешку" і посилання, по якому ця "флешка" знаходиться. Викачуваний файл (oPreved.exe) дійсно має значок флеш-ролика, але насправді - це троян, що перехоплює паролі.
Після запуску oPreved.exe створюються файли: %System%\Expllorer.exe (223 392 байти. Детектується антивірусом Dr.Web як Win32.HLLW.MyBot), %windir%\temp\xer.exe (223 392 байти. Детектується антивірусом Dr.Web як Win32.HLLW.MyBot) і тимчасовий файл C:\a.bat. Файл Expllorer.exe прописується в автозавантаження, створюючи наступні ключі в системному реєстрі: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run «Shel»=Expllorer.exe; HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices «Shel»=Expllorer.exe.
Передача паролів відбувається через скрипт на сайті hxxp://220web.ru. Передаються всі зібрані паролі в системі: icq, ftp, поштові сервіси, dialup, trilian, miranda і т.д. Також Trojan.PWS.LDPinch намагається обійти міжмережеві екрани - як вбудований в операційну систему, так і деяких сторонніх розробників.
Компанія "Доктор Веб-сервера" закликає користувачів бути уважними і не відкривати посилання, що прийшли в повідомленнях ICQ від невідомих адресатів.

По матеріалах: CNews