"Лаборатория Касперского", ведущий российский разработчик систем информационной безопасности, сообщает о регистрации массовой рассылки троянской программы "Gip" под видом полезной утилиты для защиты от взломов через Интернет.
"Лаборатория Касперского", ведущий российский разработчик систем информационной безопасности, сообщает о регистрации массовой рассылки троянской программы "Gip" под видом полезной утилиты для защиты от взломов через Интернет.
Зараженные письма рассылаются с поддельного адреса "free@avp.ru" (на самом деле такого адреса не существует) и выглядят следующим образом (оригинальная грамматика сохранена):
От: "AVP corp."
Тема: 100% безопасность в интернете теперь возможна!
Тело письма:
Привет!
Ты входиш в интернет и постоянно задаешся мыслью "Как сделать так чтобы тебя не взломали?", тебе не нравится когда всю твою информацию читают посторонние - тогда это для тебя!
Сейчас, с каждым днем все больше пользователей хотят что либо украсть... и время от времени, к сожалнию, у них это получается! Выход есть - это наша новая программа, которая прикреплена к письму!
Эта программа была написана группой добровольцев - работников компании AVP - лидеру в области электронной безопасности по просьбе десятка интернет компаний, которые хотят сохранить своих пользователей в полной безапасности! Теперь эта программа есть и у тебя! Распакуй RAR-архив и установи ее, инструкции по пременению в самой программе!
Как это работает? Существуют десятки так называемых анонимных прокси-серверов, которые прячут ваше появление в сети - результат - то чего мы и добивались... Ваш IP-адрес меняется каждый час, поэтому вычислить вас может только профессионал, а поскольку таких у нас в России и мире единицы да и они не занимаются такими мелкими атаками, то почти 100% безопасность мы гарантируем!
Поскольку программа до сих пор представляет коммерческую ценность - она распространяется в закодированном RAR-архиве!
Пароль на архив: FREE
В письме также имеется вложенный файл-носитель троянской программы FREE_ANON.RAR (имя файла может меняться). После разархивации вложенного файла (SHEL.EXE) и его запуска в системный каталог Windows незаметно внедряется "троянец" "Gip". Одновременно, для отвлечения внимания пользователя на компьютер действительно устанавливается утилита для работы с Интернет "Anonimizer IE Plugin" (FREE_ANON_PLUGIN.EXE) о чем выводится соответствующее сообщение:
На зараженных компьютерах "Gip" ищет информацию о паролях (в т.ч. доступа в Интернет) и незаметно отсылает ее на анонимный адрес в одной из общедоступных почтовых служб. Для активизации троянской программы после перезагрузки компьютера "Gip" регистрирует себя в следующих ключах системного реестра:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run Welcome = %SystemDir%\shel.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices Sevice = %SystemDir%\shel.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Config = %SystemDir%\shel.exe
Процедуры защиты от данной троянской программы добавлены в базу данных Антивируса Касперского уже более полугода назад.
