Последние две недели наблюдаются массовые рассылки модификаций трояна TrojanDownloader.Win32.Small. Каждая новая модификация создаётся таким образом, чтобы антивирусные программы не детектировали его (троянец сжимается различными упаковщиками, модифицируются заголовки файла, слегка изменяется код троянца).TrojanDownloader.Win32.Small представляет собой программу для ОС Windows, размером от 1.5 до 10 Кб. Сами по себе письма формируются таким образом, что бы подтолкнуть пользователя запустить прилагаемый файл.
Примеры текста писем, содержащих троянца:
– – – – – – – – – – – – – – – – – – – – –
Check McAfee antivirus No virus
Price 28.03.2005.DOC.rar/Price 28.03.2005.Doc
Viruses: 0
Trojans: 0
Jokes: 0
Tests: 0
Здравствуйте ,
По вашей просьбе высылаем вам прайс.
См. прикреплённый фаил.
– – – – – – – – – – – – – – – – – – – – –
Kkcu> Здравствуйте,
Пятница, 18 Марта, 2005, 11:55:52, тебе писали:
oecu> Здравствуйте
kKcu> Я оплатил товар № 36281 , и у меня на последнем этапе произошла
EIcu> ошибка WebMoney! И деньги с кошелька снялись! Прошу вас как
2Kcu> можно быстрей решить эту проблему, так как сумма большая я
Mpcu> волнуюсь.
– – – – – – – – – – – – – – – – – – – – –
Здравствуйте!
Извините да действительно у нас сегодня ночью некорректно
отрабатываются стали скрипты.
Деньги мы получили.
В самое ближайшие время решим эту проблему.
Отсылаем вам прайс и новый договор, просьба сегодня заполнить договор
и отослать нам в течение 3-4 дней получите товар на адрес и ФИО
указанному вами в договоре.
– – – – – – – – – – – – – – – – – – – – –
Как видите, письма с вирусом очень похожи на письма от реально существующих людей.
Как сообщили вирусные аналитики корпорации УНА, функциональная часть всех этих троянцев сводится к одному и тому же: закачать из Интернета более весомые троянские программы и исталлировать их в систему.
Так, одна из последних модификаций TrojanDownloader.Win32.Small закачивает с сайта http://kimart.biz/ многосоставную утилиту скрытого администрирования Backdoor.Dumador и инсталлирует её в систему. В свою очередь закачиваемый Backdoor.Dumador добавляет записи в файл hosts, которые блокируют доступ к многим антивирусным сайтам, а также сайтам по информационной безопасности.
Так же Backdoor через HTTP обращение к сайту http://kimart.biz/ оставляет на сайте “приглашение” посетить троянизированный компьютер, делая его лёгкой добычей для злоумышленника.
Будьте бдительны.
