Разделы

Интернет Безопасность Интеграция Бизнес-приложения Веб-сервисы

Новый червь крадет данные у геймеров

Разработчики антивирусных систем безопасности сообщили об обнаружении многокомпонентной вредоносной программы, рассылающей себя при помощи популярного интернет-пейджера Windows (.NET) Messenger. Вредоносная программа содержит "троянца", похищающего регистрационную информацию компьютерных игр Counter-Strike и Half-Life. Червь также пытается скачать и запустить другие вредоносные программы из интернета. На данный момент зарегистрировано несколько случаев заражения.
"Лаборатория Касперского" называет нового интернет-червя Fleming, а Panda Software - Rodok. Данная вредоносная программа представляет собой 32-битное приложение Windows (файл EXE) размером 53 248 байт, написанное на языке программирования Visual Basic. Червь распространяется при помощи интернет-пейджера Windows (.NET) Messenger, встроенного в Windows XP, используя методы "социального инжиниринга": он пытается привлечь внимание пользователей и заставить их скачать с веб-сайта некую программу. Письмо выглядит следующим образом:

Hey!! Could you please check out this program for me? :) I made it myself and want people to test it. Its a readme with the program that explains what it does!

http://home.no.net/downl0ad/BR2002.exe -- There you can download it! give me advices on what to upgrade please!!

[Привет!! Не хочешь взглянуть на эту программу? :) Я ее сам написал, и теперь хочу, чтобы кто-то ее проверил. К программе прилагается readme-файл - там вся необходимая информация.

Владимир Макаров, ДИТ Москвы: За 10 лет ЕМИАС стал огромным брендом, объединившим 221 информационную систему
ИТ в госсекторе

<_url_>/BR2002.exe - Программу можно скачать здесь! пожалуйста, напиши мне свои замечания и предложения!!]

Указанный в сообщении интернет-адрес (http://home.no.net/downl0ad/BR2002.exe) содержит копию червя. При запуске файла червь выдает себя за программу генерации ключей к компакт-дискам, отображая на экране следующее окно:

Вредоносная программа не устанавливает себя в систему и срабатывает, только будучи запущенной пользователем (например, при двойном щелчке по его пиктограмме в Проводнике Windows). Будучи запущенным, червь пытается скачать и запустить два файла с интернет-сайта http://home.no.net/downl0ad/. Загруженные файлы сохраняются по следующим путям:

C:\update35784.exe

C:\hehe2397824.exe

С помощью этих файлов-троянов злоумышленник может получить удаленное управление над компьютером жертвы. Антивирусы Panda обнаруживают троян под именем Bck/Brat.

Затем червь соединяется с приложением Windows (.NET) Messenger и ожидает входящих сообщений. При получении некоторых сообщений от пользователя styggefolk@hotmail.com он посылает ответ, содержащий регистрационную информацию (CD-Key) от Half-Life и Counter-Strike.

Fleming также находит список адресатов Windows (.NET) Messenger и рассылает по нему свое сообщение.

По данным "Лаборатории Касперского" и Panda Software , в настоящий момент ресурс http://home.no.net/downl0ad/BR2002.exe заблокирован. В то же время, компания Panda Software обращает внимание пользователей на то, что почтовый червь Bugbear (Tanatos), появившийся на прошлой неделе, продолжает досаждать компьютерным пользователям и IT-системам всего мира. Общее количество заражений Bugbear, отслеживаемое бесплатной онлайновой программой Panda ActiveScan, значительно возросло за последнее время. Позиции червя в вирусном топ-листе сегодня даже выше, чем у Klez.I. Bugbear ответственен за 25.88% случаев вирусных заражений, в то время как Klez.I участвовал лишь в 12.14% случаев. Пользователям, чьи компьютеры уже заражены Bugbear/ Tanatos, Panda Software предлагает скачать бесплатную программу PQREMOVE. Эта утилита способна найти и полностью обезвредить этого червя.

Источник: по сообщению "Лаборатории Касперского", Panda Software.