Вредоносными программами, предназначенными для рассылки спама по электронной почте, профессионалов фирмы «Доктор Веб» перестать удивишь: образчики похожих приложений попадают в вирусную лабораторию с завидной регулярностью. друг с дружкой с для тех последний троянец-спамер, исследованный перестать так давно вирусными аналитиками так словно добавленный в вирусные основы Dr.Web под именованием , имеет чуток любознательных конструктивных особенностей.
«Особенности» начинаются ещё на рубеже инсталляции троянца в инфицированной системе: вредная программа старается создать свои клоны в системной папке C:WindowsSystem32 с именами сsrss.exe, svchost.exe так словно rundll32.exe, в том числе так точно невзирая на то, словно в указанной директории располагается подкрепиться файл сsrss.exe. дабы укокать данную малозначительную техническую проблему, троянец отыскивает в памяти персонального компьютера процесс с подобным именованием по его абсолютному пути так словно решает попытку его завершения. При этом, в случае в случае в случае в случае если у троянского приложения окажутся достаточные для исполнения этого деяния системные возможности (то убирать вредный исполняемый файл запущен от имени учетной записи админа так словно для него включены привилегии отладчика), конец процесса сsrss.exe сразу приводит к «падению» ОС Windows с демонстрацией «синего экрана смерти» (BSOD), что, в свою очередь, вызывает у вирусных аналитиков обстоятельные сомнения в духовном здоровье вирусописателей.
Если обрушить Windows перестать получилось, образовывает посредственно файла с именами сsrss.exe, svchost.exe так словно rundll32.exe в папке %APPDATA% так словно видоизменит системный реестр с целью снабжения личного самодействующего запуска. В ОС Windows XP троянцу порой удается удачная установка в файл <SYSTEM32>
undll32.exe, все-таки в конкретно в конкретно в данном случае юзеру множить поддержать стандартная утилита восстановления покоробленных так словно отсутствующих файлов SFC, могущая возвратить подкрепиться файл из резервной копии. При надлежащей загрузке системы кончено посредственно сотворенные троянцем приложения автоматизированно запускаются.
После пуска испытывает присутствие включения к вебу способом инсталляции соединения с серверами smtp.gmail.com:25 так словно plus.smtp.mail.yahoo.com:25, при появлении неприятностей с доступом к паутине троянец завершает свою работу. в случае в случае в случае в случае если же слияние с вебом присутствует, вредная программа старается приобрести с удаленных узлов (адреса коих хранятся в теле троянца) жизненный перечень айпишников управляющих серверов. Сравнив приобретенные перечни так словно удалив из их внутрисетевые сетевые адреса, троянец создаёт бесповоротный перечень управляющих серверов так словно записывает приобретенные заданные в системный реестр Windows, кой он применяет в качестве хранилища похожей информации.
Троянец систематически обновляет перечень управляющих серверов, выслеживает (и в случае необходимости восстанавливает) положение отрасли реестра, отвечающей за автозапуск , а уж тоже продает опции backconnect-proxy сервера. При конкретно в конкретно в данном ассоциация с командными центрами организована подобным образом, словно они практически принуждают инфицированную операционную систему поддерживать функциональное слияние данный пора времени.
Основное назначение — рассылка почтового спама сообща с удаленным спам-сервером. Любопытно, словно ссылки в этих письмах ведут в главном на веб-страницы, расположенные на взломанных сайтах. Например, в случае в случае в случае в случае если по основному адресу интернет-ресурса, на кой ссылаются маркетинговые письма, располагается какой нейтральный интернет-ресурс:
…то при переходе по гиперссылке из письма, относящейся к данному же сайту, производится автоматизированное перенаправление юзера на абсолютно другую веб-страницу:
Запись для предоставленной вредной программы добавлена в вирусные основы Dr.Web, затем перестать воображает опасности для юзеров наших антивирусных продуктов.
НОВОЕ НА САЙТЕ
23 апреля 2024 года
Обращаем внимательность на дальнейшее обновление пасмурной версии песочницы Dr.Web vxCube, в взаимоотношения с чем 24 апреля с 13:00 перед началом 14:00 по столичному времени обслуживание будет недоступен для использования.
В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web
Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]
The post
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web