Компания «Доктор Веб» информирует пользователей о распространении с 22 октября 2012 года вредоносного спама якобы от популярного интернет-магазина Amazon.com. Эти письма содержат предложение загрузить лицензию на Microsoft Windows, однако, переходя по ссылке, пользователь заражается сразу двумя вредоносными программами (BackDoor.Andromeda.22 и Trojan.Necurs.97), которые готовы в любой момент по заказу злоумышленников переправить на компьютеры жертв другое вредоносное ПО.
С 22 октября 2012 года интернет-пользователи стали регулярно получать по электронной почте сообщения, отправителем которых якобы является Amazon.com. Письма имеют заголовок Order N [случайное число] и следующее содержимое:
Hello,
You can download your Microsoft Windows License here.
Microsoft Corporation
Такое сообщение содержит ссылку на веб-страницу, включающую сценарий - при его выполнении посетитель переадресовывается на другой веб-сайт, который в свою очередь передает браузеру файл, содержащий сценарий на языке JavaScript. При выполнении этого сценария на компьютер пользователя загружаются две вредоносные программы: широко известный троянец-загрузчик BackDoor.Andromeda.22 и вредоносная программа Trojan.Necurs.97.
Троянец Trojan.Necurs.97 способен саморазмножаться, в том числе он может инфицировать съемные накопители и общие ресурсы локальной сети. После своего запуска троянец создает в отдельной папке исполняемый файл, а также вносит изменения в системный реестр с целью обеспечения автоматического запуска данного файла в процессе загрузки Windows. Далее троянец ищет в памяти запущенные процессы браузеров Mozilla Firefox и Internet Explorer и в случае их обнаружения пытается встроить в них собственный код. После этого Trojan.Necurs.97 пытается скопировать себя на все доступные съемные носители, а так же создать в корневой папке накопителя файл autorun.inf с целью обеспечения автоматического запуска троянца при каждом подключении устройства.
Троянец Trojan.Necurs.97 устанавливает соединение с принадлежащими злоумышленникам удаленными серверами, сообщает об успешной установке в инфицированную систему, после чего ожидает поступления команд, среди которых можно выделить команду загрузки на зараженный компьютер различных приложений и передачу на удаленный сервер файлов с локального компьютера.
Компания «Доктор Веб» призывает интернет-пользователей проявлять осторожность и не переходить по ссылкам в сообщениях электронной почты, полученных из неизвестных источников.
Источник : Компания «Доктор Веб»
С 22 октября 2012 года интернет-пользователи стали регулярно получать по электронной почте сообщения, отправителем которых якобы является Amazon.com. Письма имеют заголовок Order N [случайное число] и следующее содержимое:
Hello,
You can download your Microsoft Windows License here.
Microsoft Corporation
Такое сообщение содержит ссылку на веб-страницу, включающую сценарий - при его выполнении посетитель переадресовывается на другой веб-сайт, который в свою очередь передает браузеру файл, содержащий сценарий на языке JavaScript. При выполнении этого сценария на компьютер пользователя загружаются две вредоносные программы: широко известный троянец-загрузчик BackDoor.Andromeda.22 и вредоносная программа Trojan.Necurs.97.
Троянец Trojan.Necurs.97 способен саморазмножаться, в том числе он может инфицировать съемные накопители и общие ресурсы локальной сети. После своего запуска троянец создает в отдельной папке исполняемый файл, а также вносит изменения в системный реестр с целью обеспечения автоматического запуска данного файла в процессе загрузки Windows. Далее троянец ищет в памяти запущенные процессы браузеров Mozilla Firefox и Internet Explorer и в случае их обнаружения пытается встроить в них собственный код. После этого Trojan.Necurs.97 пытается скопировать себя на все доступные съемные носители, а так же создать в корневой папке накопителя файл autorun.inf с целью обеспечения автоматического запуска троянца при каждом подключении устройства.
Троянец Trojan.Necurs.97 устанавливает соединение с принадлежащими злоумышленникам удаленными серверами, сообщает об успешной установке в инфицированную систему, после чего ожидает поступления команд, среди которых можно выделить команду загрузки на зараженный компьютер различных приложений и передачу на удаленный сервер файлов с локального компьютера.
Компания «Доктор Веб» призывает интернет-пользователей проявлять осторожность и не переходить по ссылкам в сообщениях электронной почты, полученных из неизвестных источников.
Источник : Компания «Доктор Веб»