Доктор веб »попереджає про епідемії і

Компанія «Доктор Веб» повідомила про різке зростання в поштовому трафіку за останній тиждень кількості спам-листів з доданим архівом, в якому міститься шкідлива програма, яка визначається антивірусом Dr.Web як Trojan.Packed.1198.

Архів, прикладений до листа, містить установник шкідливої програми на комп'ютер користувача - anjelina_video.exe розміром 44 032 байта. У свою чергу він містить файл, який визначається Dr.Web як Trojan.MulDrop.17829. Шкідлива програма перевіряє, чи не встановлені вже в системі деякі з відомих видів лже-антивірусів (різні модифікації Trojan.FakeAlert). У разі наявності їх у системі, Trojan.MulDrop.17829 завершує роботу і видаляє себе. Якщо ж ніяких ознак фальшивий антивірус не виявляється, троянець приймається за активні дії.

Перш за все, Trojan.MulDrop.17829 розшифровує знаходиться всередині нього файл і зберігає його в системному каталозі з іменем brastk.exe. Збережений файл теж визначається як Trojan.Packed.1198, тому що в ньому використовується пакувальник, схожий з тим, що використовується в вихідному файлі. Також в системі зберігається файл figaro.sys. При завантаженні драйвера троян тимчасово заміняє їм драйвер beep.sys, що дозволяє маскувати запуск своїх драйверів від багатьох антіруткит-утиліт. На завершення троян знищує вихідний файл і перезавантажує систему.

Активність трояна полягає в зміні налаштувань зон безпеки Windows, відключення попередження Windows про відсутність антивіруса, вимкненому вбудованому фаєрвол, а також оновлень. При цьому вбудований фаєрвол також відключається. Потім троян видаляє з реєстру дані розширень Internet Explorer і встановлює в якості пошукового движка Google, також змінюючи стартову сторінку на www.google.com. Зрештою, троян виводить повідомлення про те, що комп'ютер інфікований і пропонує завантажити засіб боротьби. Цікава особливість полягає в тому, що він викачує шкідливі файли ще до виведення повідомлення про зараження системи користувача.