24 ноября 2008 года представители компании «Доктор Веб» объявили, что в глобальной сети началась эпидемия почтовых вирусов.
В связи с закрытием деятельности нескольких крупных спам-хостеров, за последние месяцы количество спама значительно убавилось. Но злоумышленники смогли найти другие пути для распространения вирусных программ с помощью спам рассылок по электронной почте, сообщает сайт Proit.com.ua со ссылкой на Cnews.RU.
К примеру, 24 ноября была зафиксирована рассылка спама с вложением abrechnung.zip. Она была направлена на немецко-говорящих пользователей, так как abrechnung переводится с немецкого как «удержание денежных средств». Текст самого письма был направлен на то, чтобы пользователь, повинуясь секундному импульсу открыл содержимое архивного файла.
А внутри нерадивого пользователя ждали файл abrechnung.lnk и отдельная папка scann, которая содержала файл scann.a. Антивирус Dr.Web определил этот файл как Trojan.DownLoad.16843. Эксперты предположили, что создатели вирусной рассылки специально создали содержимое архива .zip таким образом, чтобы сконцентрировать внимание пользователя на abrechnung.lnk, не обратив при этом внимания на папку, что позволило бы запустить файл scann.a.
Этот вид вредоносных программ представляет серьезную опасность, так как внедряется в системные процессы explorer.exe и svchost.exe и проводит загрузку других частей вредоносной программы с китайских серверов. Помимо почты, троян может распространятся и через съемные носители с помощью файла system.exe.
Согласно данным лаборатории «Доктор Веб», Trojan.DownLoad.16843 на данный момент составляет 50% в общем вирусном трафике электронной почты.
Стоит также добавить, что даже после закрытия деятельности спам-хостеров, рассылки писем отсылающих на веб-страницы содержащие Trojan.DownLoad.4419 продолжились. Последняя версия рассылки этого трояна свидетельствует о смене тактики злоумышленников. Теперь они предлагают троян не под видом ссылки на порно-ресурс, а в качестве возможности скачать новую бета-версию Microsoft Internet Explorer 8.
