...
...

И снова в Интернете неспокойно

Лаборатория Касперского сообщила об обнаружении новой троянской программы Xombe, разосланной по Интернету с использованием спам-методов.

Xombe представляет собой утилиту несанкционированного удаленного управления. Троянец устанавливает специальную программу, которая выполняет на зараженном компьютере получаемые извне команды.
Xombe состоит из двух функциональных частей. Первая — загрузчик — представляет собой файл размером всего 4 Кб. При запуске он соединяется через Интернет с одним из удаленных серверов и незаметно загружает на компьютер вторую, главную часть троянца. Последняя после установки постоянно находится в памяти и обращается в Интернет на удаленный сайт, откуда загружает файлы, содержащие команды для троянца. При получении этих команд Xombe выполняет их на компьютере.

В частности, программа имеет возможность устанавливать и выполнять несанкционированные приложения, в том числе шпионского характера. "Лабораторией Касперского" был обнаружен дополнительный модуль, проводящий с зараженных компьютеров распределенную DoS-атаку на сервер интернет-форумов. В данном случае загрузчик Xombe был разослан по электронной почте с фальсифицированного адреса windowsupdate@microsoft.com под заголовком "Windows XP Service Pack 1 (Express) — Critical Update". В письме пользователям предлагается установить прилагаемое обновление для операционной системы Windows XP, которое якобы обеспечивает более высокий уровень надежности, безопасности и совместимости. Имя вложенного файла — носителя троянца — WINXP_SP1.EXE. Описанный случай еще раз свидетельствует о тенденции сращивания различных направлений компьютерного андеграунда — вирусописателей и спамеров.

"Лабораторией Касперского" обнаружена также массовая рассылка троянской программы Small.cz, которая загружает и устанавливает с удаленного сервера новую версию почтового червя Mimail — Mimail.P. Зарегистрированная рассылка троянца маскируется под письмо от платежной системы PayPal, содержит подложный адрес отправителя do_not_reply@paypal.com, тему письма PAYPAL.COM NEW YEAR OFFER и вложенный файл paypal.exe. При запуске этого файла троянец соединяется с удаленным сервером, загружает оттуда дистрибутив Mimail.P и устанавливает его в систему.





Mimail, созданный в России и впервые появившийся на просторах Интернета в начале августа прошлого года, является классическим почтовым червем, распространяющимся через электронные сообщения. Новая модификация червя отличается от предыдущей лишь использованием утилиты сжатия UPX. Это затрудняет обнаружение Mimail.P некоторыми антивирусными программами.

После установки Mimail.P начинает процедуру распространения. Для этого он незаметно сканирует некоторые директории зараженного компьютера и считывает из них адреса электронной почты. Далее червь рассылает по этим адресам свои копии, используя встроенную процедуру для работы с электронной почтой.

Червь обладает опасным побочным действием, которое может нанести пользователям существенный ущерб. Он, в частности, следит за активностью приложений платежных систем E-Gold и PayPal, установленных на зараженном компьютере, считывает из них конфиденциальные данные и отсылает на несколько засекреченных адресов, принадлежащих автору червя. Таким же образом червь похищает с компьютера другие конфиденциальные данные, например, логины и пароли для работы с электронной почтой, системную информацию и пр.



© Компьютерная газета