Stfw.RuКомпания «Доктор Веб» обнаружила в сети троян с интересным алгоритмом поведения
🕛 26.04.2012, 05:03
Вредонос Trojan.Spambot стремится похить учетные данные почтовых клиентов и данные автозаполнения форм в web-обозревателях. Согласно сообщению антивирусной компании «Доктор Веб», ее специалистам удалось обнаружить в сети Интернет троян Trojan.Spambot.11349, выполняющий на зараженной системе нестандартные операции.
Опасность данного вредоносного приложения заключается в том, что он предназначен для похищения учетных данных почтовых клиентов, в том числе Microsoft Outlook и The Bat! Кроме того, троян стремиться передать злоумышленникам с зараженной системы данные автозаполнения форм в web-обозревателях.
«Распространение этой вредоносной программы осуществляется с применением бот-сети весьма известных бэкдоров Backdoor.Andromeda. Троянец Trojan.Spambot.11349 состоит из двух компонентов: написанного на языке Delphi загрузчика и динамической библиотеки, в которой сосредоточена полезная нагрузка», - поясняют исследователи.
Функции приложения-загрузчика - это обход брандмауэра и установка в систему вредоносной библиотеки. Если загрузчик запущен из процесса, имя которого не содержит строку «vcnost.e», троянец уничтожает все процессы, содержащие в имени значение svcnost, сохраняет себя в одну из папок на жестком диске компьютера под именем svcnost.exe и прописывает соответствующую ссылку в ветви реестра, отвечающей за автозагрузку приложений.
Кроме того, троян вносит ряд изменений в системный реестр с целью обхода сетевого экрана Windows, и перезаписывает файл hosts, блокируя пользователю доступ к веб-сайтам производителей антивирусных программ.
«Наконец, загрузчик помещает в оперативную память компьютера содержащую полезную нагрузку динамическую библиотеку и передает ей дальнейшее управление», - утверждают в «Доктор Веб».