Как рассказали CNews в компании, данный троян предназначен для кражи паролей от многих прикладных программ.
26–27 декабря 2012 г. пользователи интернета стали получать
электронные
письма об оплате некоего счета, содержащие вложенный ZIP-архив. В
тексте сообщений, как правило, предлагается проверить банковские
реквизиты платежного поручения.
По словам экспертов «Доктор Веб»,
обращают на себя внимание сразу несколько фактов. «Прежде всего,
настораживают имя архива ([FILENAME].JPG.zip) и ошибки в тексте письма.
Внутри архива располагается исполняемый файл, причем расширение
вредоносного приложения (.exe) отделено от имени большим количеством
точек с целью скрыть его в окне «Проводника». Подобный способ «спрятать»
истинное расширение файла применяется злоумышленниками на протяжении
многих лет и считается весьма тривиальным.
Правда, предшественники справлялись со своей задачей гораздо успешнее: вместо точек они
использовали
большое количество пробелов, поэтому пользователям Проводника Windows
становилось весьма непросто определить истинный тип файла, — отметили
эксперты. — Следует отметить, что распространители трояна не потрудились
даже заменить значок приложения на что-то нейтральное: видимо,
наступившая пора школьных экзаменов не оставляет достаточного
времени для экспериментов».
По
данным «Доктор Веб», сама вредоносная программа, детектируемая
антивирусным ПО Dr.Web как Trojan.PWS.UFR.3010, создана с помощью широко
известного конструктора утилит для кражи паролей UFR Stealer, свободно
распространяемого на хакерских форумах как минимум с 2010 г.
«Воспользоваться этой программой может любой подросток, не обладающий
даже минимальными знаниями в области программирования.
Полученное с помощью конструктора вредоносное приложение способно красть пароли от большинства популярных браузеров,
почтовых
клиентов, FTP-клиентов, программ мгновенного обмена сообщениями и
других приложений (например, игры World of Tanks), а также отправлять
данные с использованием протокола FTP на удаленный сервер или по
электронной почте», — подчеркнули в компании.
Анализ FTP-сервера
злоумышленников показал, что в общей сложности заражению подверглось как
минимум несколько сотен компьютеров, а за последние сутки — не менее
120 ПК. В «Доктор Веб» рекомендуют во избежание заражения вредоносными
программами не открывать вложения в сообщениях электронной почты,
полученных из неизвестных источников.
Источник: ht.comments.ua