Алексей Рерих
В среду обнаружена новая троянская программа , специализирующаяся на пользователях сетевой платежной системы .
Как сообщает «» троянец имеет довольно сложную систему проникновения на компьютер пользователя. Для начала незадачливому пользователю предлагается скачать из Интернета какой-нибудь безобидный с виду файл. Например, файл Photo.scr, который после скачивания открывается как картинка, или файл Sponsors_pay_WM.exe, представляемый как продукт «Billing Systems». Названия файлов могут меняться. Указанные файлы являются одновременно программами-инсталяторами самого троянца — так называемыми «дропперами».
Проникая в систему, троянская программа netcfgh.exe, работающая в среде Win32, регистрируется в файле system.ini, что позволяет ей запускаться при каждом перезапуске Windows и разрешает модему авто-набор.
Через некоторое время троянец создает в системе «черный ход». Эта процедура затем связывается с ftp-севером по адресу ftp://ftp.bizland.com и скачивает оттуда дополнительные компоненты — программы heak.exe, teen1.exe и другие, которые выполняют в зараженной системе самые различные функции — например,
мониторят нажатие клавиш, отслеживая таким образом логины и пароли пользователя, архивируют необходимые данные и так далее.
Кроме того, вредоносная программа инсталлирует скрипт, который позволяет удаленно скачивать с зараженного компьютера файлы, выкладывать файлы на компьютер, запускать исполняемые приложения, перемещать и удалять файлы на зараженном компьютере и, самое главное, передавать «хозяину» троянца необходимые данные.
Троянец также сканирует систему в поисках каталогов пользователя платежной системы WebMoney. Их названия затем передаются «хозяину» троянца, который может использовать полученные данные, например, для перевода денег с пользовательских счетов на свои.
 |
|
| ССЫЛКИ ПО ТЕМЕ |  |
