Служба вирусного мониторинга компании “Доктор Веб” сообщает о распространении по сети мгновенных сообщений (ICQ) новой модификации троянской программы, получившей по классификации компании “Доктор Веб” название Trojan.PWS.LDPinch.1061.
Получаемое пользователем сообщение содержит приглашение посмотреть “прикольную флэшку” и ссылку, по которой эта “флэшка” находится. Скачиваемый файл (oPreved.exe) действительно имеет значок флеш-ролика, но на самом деле – это троянец, перехватывающий пароли.
Техническая информация о данном троянце:
После запуска oPreved.exe (354 304 байта. Детектируется антивирусом Dr.Web как Trojan.PWS.LDPinch.1061) создаются файлы:
- %System%\Expllorer.exe (223 392 байта. Детектируется антивирусом Dr.Web как Win32.HLLW.MyBot);
- \%windir%\temp\xer.exe (223 392 байта. Детектируется антивирусом Dr.Web как Win32.HLLW.MyBot);
- временный файл C:\a.bat.
Файл Expllorer.exe прописывается в автозагрузку, создавая следующие ключи в системном реестре:
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run “Shel”=Expllorer.exe
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices “Shel”=Expllorer.exe
Передача паролей происходит через скрипт на сайте hxxp://220web.ru.
Передаются все собранные пароли в системе: icq, ftp, почтовые сервисы, dialup, trilian, miranda и т.д.
Также Trojan.PWS.LDPinch пытается обойти межсетевые экраны: как встроенный в операционную систему, так и некоторых сторонних разработчиков.
Компания “Доктор Веб” призывает пользователей быть внимательными и не открывать ссылки, пришедшие в сообщениях ICQ от неизвестных адресатов. В случае, если Ваш компьютер поражен трояном Trojan.PWS.LDPinch, рекомендуется отключить компьютер от локальной сети и/или Интернета, проверить его антивирусным сканером Dr.Web®.
Вы также можете бесплатно проверить и, в случае необходимости, вылечить компьютер при помощи утилиты Dr.Web – CureIt!.
Внимание! В обязательном порядке смените все пароли, хранящиеся на Вашем компьютере.