Вредоносными программами, предназначенными для рассылки спама по электронной почте, профессионалов корпорации «Доктор Веб» перестать удивишь: эталоны сходных приложений попадают в вирусную лабораторию с завидной регулярностью. вместе с для тех последний троянец-спамер, исследованный закончить делать так давно вирусными аналитиками так ровно добавленный в вирусные основы Dr.Web под именованием , имеет крошечку любознательных конструктивных особенностей.
«Особенности» начинаются сызнова на рубеже инсталляции троянца в инфицированной системе: вредная программа старается создать свои клоны в системной папке C:WindowsSystem32 с именами сsrss.exe, svchost.exe так ровно rundll32.exe, в том числе так ровно закончить делать обращая внимания на то, ровно в указанной директории располагается подлинный файл сsrss.exe. чтоб убийца данную малозначительную техническую проблему, троянец отыскивает в памяти персонального компьютера процесс с подобным именованием по его абсолютному пути так ровно решает попытку его завершения. При этом, в случае в случае коли у троянского приложения окажутся достаточные для исполнения этого деяния системные возможности (то трескать вредный исполняемый файл запущен от имени учетной записи админа так ровно для него включены привилегии отладчика), окончание процесса сsrss.exe безотложно приводит к «падению» ОС Windows с демонстрацией «синего экрана смерти» (BSOD), что, в свою очередь, вызывает у вирусных аналитиков капитальные сомнения в духовном здоровье вирусописателей.
Если обрушить Windows перестать получилось, созидает 3 файла с именами сsrss.exe, svchost.exe так ровно rundll32.exe в папке %APPDATA% так ровно видоизменит системный реестр с целью снабжения личного полуавтоматического запуска. В ОС Windows XP троянцу кое-когда удается удачная установка в файл <SYSTEM32>
undll32.exe, впрочем в конкретно в конкретно в конкретно в этом случае юзеру помножать пособить стандартная утилита восстановления покоробленных так ровно отсутствующих файлов SFC, могущая восстановить подлинный файл из резервной копии. При последующей загрузке системы шабаш 3 сотворенные троянцем приложения механично запускаются.
После пуска испытывает присутствие включения к вебу методом инсталляции соединения с серверами smtp.gmail.com:25 так ровно plus.smtp.mail.yahoo.com:25, при появлении неприятностей с доступом к паутине троянец завершает свою работу. в случае в случае коли же сплетение с вебом присутствует, вредная программа старается принять с удаленных узлов (адреса коих хранятся в теле троянца) животрепещущий снимок айпишников управляющих серверов. Сравнив приобретенные перечни так ровно удалив из их внутрисетевые сетевые адреса, троянец создает решительный снимок управляющих серверов так ровно записывает приобретенные заданные в системный реестр Windows, который-нибудь он задействует в качестве хранилища аналогичной информации.
Троянец периодически обновляет снимок управляющих серверов, выслеживает (и в случае необходимости восстанавливает) положение ветки реестра, отвечающей за автозапуск , а уж тоже продает опции backconnect-proxy сервера. При конкретно в конкретно в конкретно в этом взаимосвязь с командными центрами организована подобным образом, ровно они практически принуждают инфицированную операционную систему поддерживать функциональное сплетение данный ступень времени.
Основное назначение — рассылка почтового спама вместе с удаленным спам-сервером. Любопытно, ровно ссылки в этих письмах ведут в главном на веб-страницы, расположенные на взломанных сайтах. Например, в случае в случае коли по основному адресу интернет-ресурса, на который-нибудь ссылаются маркетинговые письма, располагается какой-нибудь нейтральный интернет-ресурс:
…то при переходе по гиперссылке из письма, относящейся к данному же сайту, производится автоматизированное перенаправление юзера на вовсе другую веб-страницу:
Запись для заданной вредной программы добавлена в вирусные основы Dr.Web, посему перестать воображает опасности для юзеров наших антивирусных продуктов.
НОВОЕ НА САЙТЕ
23 апреля 2024 года
Обращаем внимательность на дальнейшее обновление пасмурной версии песочницы Dr.Web vxCube, в взаимоотношения с чем 24 апреля с 13:00 перед началом 14:00 по столичному времени обслуживание будет недоступен для использования.
В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web
Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]
The post
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web