26.11.08 18:43

«Доктор Веб» предупреждает о новой эпидемии почтовых вирусов

Производитель одного из наиболее популярных антивирусов, компания «Доктор Веб» предупреждает интернет-пользователей об новой эпидемии вирусов, распространяющихся посредством электронной почты. Хотя за последнее время, в связи с закрытием крупных спам-хостеров общий уровень спам-рассылок достаточно сильно снизился, злоумышленники все же находят новые способы для распространения вредоносных программ с помощью почтового спама.

Так с 24 ноября началась массовая рассылка спамерских сообщений на немецком языке с вложением abrechnung.zip. Текст писем данной рассылки несколько различается и служит тому, чтобы пользователь, повинуясь импульсивному решению, открыл содержимое приложенного архива. В архиве находится файл abrechnung.lnk и папка scann, содержащая файл scann.a, который является исполняемым и определяется антивирусом Dr.Web как Trojan.DownLoad.16843. Структура архива позволяет предположить, что авторы рассылки делали расчет на то, что пользователь после распаковки увидит и запустит файл abrechnung.lnk (расширение которого по умолчанию не показывается в Проводнике), а на папку не обратит внимание. Таким образом, будет запущен другой файл, scann.a.

Данный вредоносный файл представляет опасность в связи с внедрением в системные процессы svchost.exe и explorer.exe. После этого производится загрузка других компонентов вредоносной программы с серверов, расположенных в Китае. Данный троянец также может распространяться на съемных носителях через файл system.exe, являющийся компонентом этого вируса. По информации антивирусной лаборатории «Доктор Веб», в настоящее время доля Trojan.DownLoad.16843 в общем вирусном почтовом трафике составляет около 50%.

Также, несмотря на прекращение деятельности крупных спам-хостеров, начинают возвращаться рассылки писем со ссылками на страницы, содержащие Trojan.DownLoad.4419. В последней рассылке данного троянца, которая прошла в ночь с 24 на 25 ноября, злоумышленники решили сменить амплуа. На этот раз вместо ссылок на якобы порно-видеоролики предлагалось скачать бета-версию браузера Microsoft Internet Explorer 8.

Пользователям следует обращать повышенное внимание на подозрительные почтовые сообщения, избегать необдуманного следования инструкциям в письмах, в которых пишется о безвозмездных услугах или о финансовых претензиях.