Компания «Доктор Веб» — российский разработчик средств
информационной безопасности — обращает внимание пользователей на угрозу
заражения персональных компьютеров вредоносной программой
Trojan.MailGrab.61. Этот троянец предназначен для повышения посещаемости
указанных злоумышленниками сайтов и сбора адресов электронной почты.
Проникнув в операционную систему, Trojan.MailGrab.61 создает
во временной папке свою копию со случайным именем и расширением .dll,
после чего согласно встроенному в него списку возможных путей установки
наиболее популярных программ пытается создавать в них собственные копии с
именем характерной для каждого приложения динамической библиотеки.
Затем троянец копирует себя в директорию установки используемого по
умолчанию браузера под видом одной из них, на случай если в его списке
отсутствует браузер пользователя. В перечне приложений, которые способен
инфицировать Trojan.MailGrab.61, присутствует множество
ftp-клиентов и такие программы как Outlook Express, The Bat!, Windows
Mail, Windows Media Player, WinRAR, PHP Expert Editor, Notepad ++,
Windows Photo Viewer, DVD Maker, Total Commander, FAR, а также некоторые
другие. Поскольку системный загрузчик по умолчанию ищет необходимые
библиотеки сначала в текущей папке, то в момент старта инфицированной
программы Trojan.MailGrab.61 загружается в адресное пространство
ее процесса под видом стандартной динамической библиотеки и отмечает
свой изначальный установщик на удаление после перезагрузки системы.
Будучи загруженной в память, данная вредоносная программа определяет
версию операционной системы и пытается установить, является ли процесс, в
который она внедрилась, браузером. Если это действительно так, Trojan.MailGrab.61
отправляет на принадлежащий злоумышленникам сервер сообщение об
успешной установке, а в ответ получает зашифрованный список URL сайтов,
посещаемость которых следует повысить. Вслед за этим троянец начинает
отправлять на эти сайты циклические http-запросы. Троянская программа
перехватывает все отправляемые в сеть данные и сканирует их на наличие
адресов электронной почты, которые в случае обнаружения сохраняются в
файле Windows\inf\jer.pnf. Содержимое этого файла также передается
злоумышленникам, а после успешной отсылки данной информации — удаляется.
Таким образом троянец пополняет спамерские базы данных.
Для удаления этой вредоносной программы достаточно проверить
операционную систему сканером Dr.Web, который входит в состав любого
антивирусного продукта компании «Доктор Веб» для ОС Microsoft Windows.
1 июля 2011 года
