Защити созданное

Другие наши ресурсы

  • free.drweb.ru — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.ru — сетевая лечащая утилита Dr.Web CureNet!
  • www.drweb.ru/web-iq — ВебIQметр
Закрыть

Библиотека
Моя библиотека

Чтобы добавить ресурс в библиотеку, войдите в аккаунт.

+ Добавить в библиотеку

Ресурсов: -

Последний: -

Моя библиотека

Поддержка
Круглосуточная поддержка | Правила обращения

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум | Бот самоподдержки Telegram

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32 | Skype Telegram

Свяжитесь с нами

Профиль

Профиль

Назад к списку новостей

Вредоносные письма от Win32.HLLM.MailSpamer

26 октября 2011 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает пользователей о распространении троянской программы Win32.HLLM.MailSpamer, рассылающей с компьютеров жертв вредоносные письма. Основную ставку создатели Win32.HLLM.MailSpamer делают на доверчивость пользователей, эксплуатируя в своих неблаговидных целях имя популярного интернет-сервиса «Ответы@Mail.Ru».

Как известно, сайт «Ответы@Mail.Ru» позволяет разместить любой вопрос, ответ на который дают другие пользователи ресурса. Копии всех полученных ответов отправляются автору вопроса по электронной почте. Вероятно, именно эту особенность сервиса и учли вирусописатели: троянец Win32.HLLM.MailSpamer распространяется по e-mail с помощью содержащих вредоносную ссылку писем, имеющих тему «Re: С проекта Ответы@Mail.Ru».

screenshot

Каждое такое письмо содержит один из вариантов сообщений, таких как «я почему-то сразу нагуглил» или «а самому было лень поискать?», и ссылку на сайт файлообменной службы, ведущую на страничку загрузки RAR-архива. Этот архив содержит исполняемый файл setup.exe и документ Readme.doc. При запуске приложения setup.exe на экране отображается стандартное окно программы-инсталлятора. Данная программа открывает на чтение файл Readme.doc, где в зашифрованном виде хранится троянец Win32.HLLM.MailSpamer.

screenshot

После расшифровки вредоносная программа сохраняется на диск в виде динамической библиотеки, которая, в свою очередь, извлекает из своего тела исполняемый файл и запускает его. Затем троянец вносит ряд изменений в системный реестр, прописав собственный исполняемый файл в отвечающую за автозапуск ветвь, а также отключает в групповых и локальных политиках User Accounts Control.

Запустившись на выполнение, Win32.HLLM.MailSpamer определяет тип и версию операционной системы, значение серийного номера жесткого диска и IP-адрес инфицированной машины, после чего отправляет соответствующий отчет на удаленный командный сервер злоумышленников. Оттуда троянец получает конфигурационный файл, в котором указан объект для последующей загрузки. Таким объектом, в частности, является программа alqon.exe, которая скачивается с удаленного узла и запускается на выполнение. Это вредоносное ПО устанавливает соединение с командным сервером и получает от него конфигурационный файл, содержащий логин и пароль для доступа к почтовому серверу, а также текст рассылаемого по почте сообщения и ссылку на вредоносный файл. Соединившись с сервером smtp.mail.ru, Win32.HLLM.MailSpamer осуществляет рассылку почтовых сообщений с использованием указанных в конфигурационном файле параметров. Кроме того, в троянце имеется функционал, позволяющий рассылать почтовые сообщения посредством веб-интерфейса.

Сигнатура данной угрозы уже добавлена в вирусные базы Dr.Web. Компания «Доктор Веб» призывает пользователей проявлять осторожность и не запускать на компьютере подозрительные приложения, ссылки на которые получены в подобных сообщениях электронной почты.

Нам важно Ваше мнение

Комментарии размещаются после проверки модератором. За каждый содержательный комментарий начисляется 1 Dr.Web-ка. Чтобы задать вопрос по новости администрации сайта, укажите в начале своего комментария @admin. Если ваш вопрос к автору одного из комментариев — поставьте перед его именем @


Другие комментарии

Российский разработчик антивирусов Dr.Web

Опыт разработки с 1992 года

Dr.Web пользуются в 200+ странах мира

Dr.Web в Реестре Отечественного ПО

Поставка антивируса как услуги с 2007 года

Круглосуточная поддержка на русском языке

© «Доктор Веб»
2003 — 2019

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125040, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А