Служба вирусного мониторинга компании «Доктор Веб» сообщает о довольно быстром увеличении присутствия в почтовом трафике спам-сообщений, несущих в качестве вложения троянскую программу Trojan.Spambot (по классификации Dr.Web). Данный троянец является фактически копией другой аналогичной вредоносной программы – BackDoor.Groan – с несколько измененнным упаковщиком. На 23:00 20 января письма, имеющие во вложении BackDoor.Groan, составляли 87% всего инфицированного почтового трафика.
Огромное количество экземпляров троянца в интернете объясняется массированными спам-рассылками, организованными по всему миру. При этом замысел его создателей весьма прост – привлечь внимание пользователей и вызвать их естественное любопытство броским заголовком, сообщающим о каком-либо весьма актуальном событии в мировой политике. Текст в сообщении при этом отсутствует, таким образом, пользователь, не искушенный в вопросах безопасности, сразу переходит к “основной теме” – то есть, запускает опасное вложение – исполняемый файл -одним щелчком мыши.
Будучи запущенной, программа помещает в системный каталог Windows и устанавливает в системе драйвер (имя файла – wincom32.sys, соответствующая запись создается в системном реестре), который может в дальнейшем закачивать другие вредоносные программы, оставаясь при этом невидимым для менеджера задач.
Письма, которые приходят с вложением, содержащим данную разновидность троянца Trojan.Spambot, могут иметь следующие заголовки:
- Russian missle shot down Chinese satellite
- Russian missle shot down USA satellite
- The Supreme Court has been attacked by terrorists. Sen. Mark Dayton dead!
- Fidel Castro dead!
Имена исполняемых файлов, которые были зафиксированы Службой вирусного мониторинга «Доктор Веб» применительно к этим спам-рассылкам, были следующими:
- Full video.exe
- Full clip.exe
- Full news.exe
- Full story.exe
- Video.exe
В ближайшие дни вполне возможно нарастание присутствия в сети данной троянской программы вследствие продолжения спам-рассылок инфицированных сообщений, с различными вариациями заголовков писем, а также имен прилагаемых файлов.
Редакция ITUA.info предостерегает: будьте бдительны и не открывайте вложенные файлы входящей корреспонденции без проверки антивирусными программами с обновленными базами.