Я - фотографПлагин для публикации фотографий в дневнике пользователя. Минимальные системные требования: Internet Explorer 6, Fire Fox 1.5, Opera 9.5, Safari 3.1.1 со включенным JavaScript. Возможно это будет рабо
Ваш IP адресПоказывает ваш ип адрес.
Кнопки рейтинга «Яндекс.блоги»Добавляет кнопки рейтинга яндекса в профиль. Плюс еще скоро появятся графики изменения рейтинга за месяц
ОткрыткиПерерожденный каталог открыток на все случаи жизни
1 литр бензина за 4 копейки! Аналогов в мире пока нет! .
Ни-че-го се-бе!! - (0)Ни-че-го се-бе!! Скажите фокус- поверю!!! Я тоже думаю, что это скорее фокус чем чудо! Но оста...
Почти диалектическое: мужчины о женщинах - (0)Почти диалектическое: мужчины о женщинах…))) Мне было бы легче примирить всю Европу, чем...
Windows Лицензирование Виндоус - (6)Этот пост для тех,у кого стоит не лицензионная версия Windows! Проверка подлиннос...
Как покормить крокодила - (0)Небольшая видеозарисовка из страны, где много диких обезьян крокодилов. Хочу обрат...
Вредоносные письма от Win32.HLLM.MailSpamer |
Компания «Доктор Веб» — российский разработчик средств
информационной безопасности — предупреждает пользователей о
распространении троянской программы Win32.HLLM.MailSpamer, рассылающей с компьютеров жертв вредоносные письма. Основную ставку создатели Win32.HLLM.MailSpamer делают на доверчивость пользователей, эксплуатируя в своих неблаговидных целях имя популярного интернет-сервиса «Ответы@Mail.Ru».
Как известно, сайт «Ответы@Mail.Ru»
позволяет разместить любой вопрос, ответ на который дают другие
пользователи ресурса. Копии всех полученных ответов отправляются автору
вопроса по электронной почте. Вероятно, именно эту особенность сервиса и
учли вирусописатели: троянец Win32.HLLM.MailSpamer распространяется по e-mail с помощью содержащих вредоносную ссылку писем, имеющих тему «Re: С проекта Ответы@Mail.Ru».
Каждое такое письмо содержит один из вариантов сообщений, таких как
«я почему-то сразу нагуглил» или «а самому было лень поискать?», и
ссылку на сайт файлообменной службы, ведущую на страничку загрузки
RAR-архива. Этот архив содержит исполняемый файл setup.exe и документ
Readme.doc. При запуске приложения setup.exe на экране отображается
стандартное окно программы-инсталлятора. Данная программа открывает на
чтение файл Readme.doc, где в зашифрованном виде хранится троянец Win32.HLLM.MailSpamer.
После расшифровки вредоносная программа сохраняется на диск в виде
динамической библиотеки, которая, в свою очередь, извлекает из своего
тела исполняемый файл и запускает его. Затем троянец вносит ряд
изменений в системный реестр, прописав собственный исполняемый файл в
отвечающую за автозапуск ветвь, а также отключает в групповых и
локальных политиках User Accounts Control.
Запустившись на выполнение, Win32.HLLM.MailSpamer
определяет тип и версию операционной системы, значение серийного номера
жесткого диска и IP-адрес инфицированной машины, после чего отправляет
соответствующий отчет на удаленный командный сервер злоумышленников.
Оттуда троянец получает конфигурационный файл, в котором указан объект
для последующей загрузки. Таким объектом, в частности, является
программа alqon.exe, которая скачивается с удаленного узла и запускается
на выполнение. Это вредоносное ПО устанавливает соединение с командным
сервером и получает от него конфигурационный файл, содержащий логин и
пароль для доступа к почтовому серверу, а также текст рассылаемого по
почте сообщения и ссылку на вредоносный файл. Соединившись с сервером
smtp.mail.ru, Win32.HLLM.MailSpamer осуществляет
рассылку почтовых сообщений с использованием указанных в
конфигурационном файле параметров. Кроме того, в троянце имеется
функционал, позволяющий рассылать почтовые сообщения посредством
веб-интерфейса.
Сигнатура данной угрозы уже добавлена в вирусные базы Dr.Web.
Компания «Доктор Веб» призывает пользователей проявлять осторожность и
не запускать на компьютере подозрительные приложения, ссылки на которые
получены в подобных сообщениях электронной почты.
| Комментировать | « Пред. запись — К дневнику — След. запись » | Страницы: [1] [Новые] |
