Защити созданное

Другие наши ресурсы

  • free.drweb.ru — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.ru — сетевая лечащая утилита Dr.Web CureNet!
  • www.drweb.ru/web-iq — ВебIQметр
Закрыть

Библиотека
Моя библиотека

Чтобы добавить ресурс в библиотеку, войдите в аккаунт.

+ Добавить в библиотеку

Ресурсов: -

Последний: -

Моя библиотека

Поддержка
Круглосуточная поддержка | Правила обращения

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум | Бот самоподдержки Telegram

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32 | Skype Telegram

Свяжитесь с нами

Профиль

Профиль

Назад к списку новостей

Trojan.Spambot.11349 крадет учетные записи почтовых клиентов

24 апреля 2012 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщает о распространении вредоносной программы Trojan.Spambot.11349, обладающей весьма интересным алгоритмом поведения. Опасность данного троянца для пользователей заключается в том, что он способен красть учетные записи почтовых клиентов (в частности, Microsoft Outlook и The Bat!), а также передавать злоумышленникам данные, используемые функцией автозаполнения форм в веб-браузерах.

Распространение этой вредоносной программы осуществляется с применением бот-сети весьма известных бэкдоров Backdoor.Andromeda. Троянец Trojan.Spambot.11349 состоит из двух компонентов: написанного на языке Delphi загрузчика и динамической библиотеки, в которой сосредоточена полезная нагрузка. Функции приложения-загрузчика в целом обычны для подобного рода вредоносных программ: это обход брандмауэра и установка в систему вредоносной библиотеки. Если загрузчик запущен из процесса, имя которого не содержит строку "vcnost.e", троянец уничтожает все процессы, содержащие в имени значение svcnost, сохраняет себя в одну из папок на жестком диске компьютера под именем svcnost.exe и прописывает соответствующую ссылку в ветви реестра, отвечающей за автозагрузку приложений. После этого Trojan.Spambot.11349 запускает собственную копию и, если она выполняется с правами администратора, вносит ряд изменений в системный реестр с целью обхода брандмауэра Windows, и перезаписывает файл hosts, блокируя пользователю доступ к веб-сайтам производителей антивирусных программ. Наконец, загрузчик помещает в оперативную память компьютера содержащую полезную нагрузку динамическую библиотеку и передает ей дальнейшее управление.

screen

Получив управление, вредоносная библиотека проверяет наличие на диске собственной копии и записывает в системный реестр значение из девяти случайных цифр, служащее уникальным идентификатором бота. Затем Trojan.Spambot.11349 сохраняет на диск библиотеку для работы с SSL и библиотеку zlib, с использованием которой троянец сжимает строки своих запросов. При этом в поле HOST отправляемых ботом запросов содержится посторонний IP-адрес, что является характерной особенностью Trojan.Spambot.11349. Использование отдельной динамической библиотеки для работы с zlib и SSL также можно назвать нечастым явлением в архитектуре вредоносных программ.

Одной из отличительных особенностей Trojan.Spambot.11349 является то, что эта вредоносная программа отправляет последовательность запросов на случайные IP-адреса, подобранные по специальному алгоритму из списка хранящихся в ресурсах троянца подсетей. Затем троянец устанавливает соединение с одним из трех управляющих серверов, адреса которых хранятся в теле библиотеки в зашифрованном виде, и ожидает от него получения конфигурационного файла. В случае если операция получения конфигурационного файла завершается успешно, троянец формирует строку запроса, содержащую украденные учетные данные почтовых клиентов Microsoft Outlook и The Bat!, упаковывает ее с помощью библиотеки zlib и передает на принадлежащий злоумышленникам удаленный сервер. Инфицировав систему, троянец проверяет возможность отсылки с зараженного компьютера спама, отправляя по электронной почте сообщения со случайным набором символов. Если проверка прошла успешно, троянец получает с удаленного сервера данные для последующего проведения спам-рассылки. По данным на 24 апреля, троянцы Trojan.Spambot.11349 осуществляли распространение почтовых сообщений, содержащих рекламу виагры.

Сигнатура данной угрозы добавлена в вирусные базы Dr.Web, поэтому пользователи программных продуктов компании «Доктор Веб» защищены от действия этого троянца. Тем не менее, если у вас возникли подозрения в том, что данные для доступа к вашему электронному почтовому ящику могут быть похищены, рекомендуется незамедлительно сменить пароль учетной записи электронной почты.

Нам важно Ваше мнение

Комментарии размещаются после проверки модератором. За каждый содержательный комментарий начисляется 1 Dr.Web-ка. Чтобы задать вопрос по новости администрации сайта, укажите в начале своего комментария @admin. Если ваш вопрос к автору одного из комментариев — поставьте перед его именем @


Другие комментарии

Российский разработчик антивирусов Dr.Web

Опыт разработки с 1992 года

Dr.Web пользуются в 200+ странах мира

Dr.Web в Реестре Отечественного ПО

Поставка антивируса как услуги с 2007 года

Круглосуточная поддержка на русском языке

© «Доктор Веб»
2003 — 2019

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125040, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А