«Лаборатория Касперского» сообщает о перехвате массовой спам-рассылки писем, зараженных троянской программой Trojan-Dropper.MSWord.Lafool.v. Необычным в этой вредоносной рассылке является то, что она проводится от имени антивирусной компании McAfee с адреса [email protected].
Lafool.v представляет собой документ Word с именем «McAfee Inc. Reports.doc» размером 80 635 байт, якобы содержащий отчет о распространении вредоносных программ в сети.
Документ содержит макрос, написанный на языке Visual Basic for Applications. Он извлекает из собственных ресурсов и запускает на исполнение троянскую программу, представляющую собой новую модификацию небезызвестного LdPinch, ворующего пароли для различных сервисов и прикладных программ, в том числе AOL Instant Messenger и ICQ, и личную информацию пользователей. Антивирус Касперского детектирует новую версию данной вредоносной программы как Trojan-PSW.Win32.LdPinch.bbg.
Проактивная защита, встроенная в Антивирус Касперского и Kaspersky Internet Security 6.0, успешно обнаруживает и пресекает активность троянской программы, а именно:
- попытку исполнения подозрительной макро-команды;
- попытку сбора персональных данных;
- попытку запустить Интернет-браузер с параметрами командной строки;
- попытку скрытно отослать собранные данные через запущенный браузер.
Запрещение пользователем выполнения любого из этих действий блокирует деятельность троянца (LdPinch либо не запустится, либо не сможет осуществлять свою вредоносную деятельность). Стоит отметить, что используемая технология скрытой отсылки данных впервые была реализована в известном лик-тесте PC Flank Leaktest (http://www.pcflank.com/pcflankleaktest.htm).
По мнению специалистов «Лаборатории Касперского», компания McAfee не имеет отношения к рассылке данного троянца, а почтовый адрес [email protected], указанный злоумышленниками в качестве адреса отправителя, является ложным и используется с целью обмануть бдительность получателей зараженных писем.
Пользователям рекомендуется быть внимательными и не открывать письма от неизвестных адресатов с подозрительными вложениями.
