Поддельные письма от Amazon.com приходят с вирусами
Фирма «Доктор Веб» предостерегает пользователей о широкой популяризации с 22 октября 2012 года вредного спама будто бы от интернет-магазина Amazon.com. Данные письма включают в себя предложение загрузить на компьютер лицензию от Microsoft Windows, впрочем, переходя по гиперссылке, ПК пользователя незамедлительно заражается двумя вредными программами, которые по запросу злоумышленников, переправят на зараженные компьютеры другое вредное ПО. Вирусы, содержащиеся в письмах, называются Trojan.Necurs.97 и BackDoor.Andromeda.22.
Приходящие письма имеют заголовок Order N [случайное число] и следующий текст сообщения:
"Hello,
You can download your Microsoft Windows License here.
Microsoft Corporation"
Любое такое сообщение имеет гиперссылку на веб-страницу, включающую следующий сценарий, при его выполнении гость переадресовывается на иной сайт. Со своей стороны этот сайт передает через браузер файл, имеющий сценарий на языке программирования JavaScript, который и загружает на компьютер юзера две вредные программы, широко знакомый BackDoor.Andromeda.22 (троянец-загрузчик) и вредная программа Trojan.Necurs.97.
Что из себя представляют эти вредоносные программы. Троянец Trojan.Necurs.97 владеет способностью к саморазмножению, даже имеет возможность заразить съемные накопители, а также общие ресурсы всей локальной сети. В последствии собственного запуска этот троян создает в отдельной папке некий исполняемый файл, а еще вносит перемены в системный реестр, что позволяет ему автоматически запускаться в ходе загрузки Windows. Потом троянец выискивает в памяти запущенные процессы интернет-браузеров Mozilla Firefox и Internet Explorer, и если их находит старается встроить в них личный код. Далее Trojan.Necurs.97 старается скопировать себя на все возможные в системе съемные носители (флешки, внешние диски и т.п.), сохраняя на них личную копию под случайным именем, в последствии чего создает файл autorun.inf в корневой папке накопителя,с целью поддержания автоматического пуска трояна при любом включении устройства.
Trojan.Necurs.97 выполняет еще одну функцию, он устанавливает соединение с удаленными серверами, которые принадлежат инициаторам заражения, которые рассылают такие письма, после чего сообщает о удачной установке в зараженную систему и ждет поступления команд, из числа которых возможно зафиксировать команду загрузки на инфицированный компьютер всевозможных приложений. Кроме этого может передавать файлы с вашего компьютера злоумышленникам.
Будьте бдительны - внимательно проверяйте адрес отправителя письма, и не переходите по ссылкам, которые присылают незнакомые адресаты.
