«Доктор Веб» сообщила о росте спам-писем в почтовом трафике с Trojan.Packed.1198. Пик спам-рассылок с Trojan.Packed.1198 пришелся на 20-22 октября.
«New anjelina jolie sex scandal» – заголовок письма, которое приходит пользователю.
В нем находится приглашение открыть приложенный файл, в котором якобы находится порно-ролик. Архив, приложенный к письму, содержит установщик вредоносной программы на компьютер пользователя – anjelina_video.exe размером. В свою очередь он содержит файл, определяемый Dr.Web как Trojan.MulDrop.17829. Вредоносная программа проверяет, не установлены ли уже в системе некоторые из известных видов лже-антивирусов. В случае наличия их в системе, Trojan.MulDrop.17829 завершает работу и удаляет себя. Если же никаких признаков лже-антивирусов не обнаруживается, троян принимается за активные действия.
Trojan.MulDrop.17829 расшифровывает находящийся внутри него файл, затем сохраняет его в системном каталоге с именем brastk.exe. Сохраненный файл тоже определяется как Trojan.Packed.1198. Также в системе сохраняется файл figaro.sys. При загрузке драйвера троян временно заменяет им драйвер beep.sys, что позволяет маскировать запуск своих драйверов от многих антируткит-утилит. В завершение троян уничтожает исходный файл и перезагружает систему.
Cybersecurity.ru сообщает, активность этого вируса заключается в изменении настроек безопасности Windows.