Троян Conycspa.AJ предназначен для демонстрации рекламы. С этой целью он изменяет несколько записей реестра Windows и модифицирует результаты онлайновых поисков, совершаемых пользователем. За счет этого троян перенаправляет пользователей на определенные веб-страницы, в основном имеющие отношение к медицине.
Также данный вредоносный код подключается к определенному веб-адресу, с которого загружает различные файлы. Среди них mm4839.exe, предназначенный для рассылки с компьютеров пользователей спама о лекарствах.
Кроме того, этот троян загружает из интернета большое количество зараженных файлов, содержащих следующее вредоносное ПО: рекламный код MalwareAlarm, потенциально нежелательные программы DriveCleaner, WinAntivirus2006 и PsKill.J, троянов Stox.A и Cimuz.EI, а также cookie DriveCleaner и MediaPlex.
Conycspa.AJ также вносит изменения в реестр Windows, одно из которых обеспечивает трояну запуск при каждой загрузке компьютера. Более того, он создает BHO (объект поддержки браузера - Browser Helper Object), позволяющий ему вести учет интернет-активности пользователя.
Он также модифицирует настройки брандмауэра с целью открытия случайного порта и также автоматического запуска файла win.ini при начале сессии.
Также этот опасный троян вносит изменения в папку восстановления файлов за счет создания собственной папки. Следовательно, при попытке операционной системы Windows восстановить поврежденную библиотеку, она заменяется файлами, созданными самим трояном. Таким образом троян защищает созданные им изменения и предотвращает их удаление операционной системой.
Briz.X также сыграл важную роль. PandaLabs обнаружила сервер, который служит хранилищем конфиденциальной информации, украденной трояном. Этот вариант заразил более 14,000 пользователей, и продолжает инфицировать в среднем 500 новых компьютеров в сутки.
Briz.X снабжен модулем синтаксического анализатора, который позволяет кибер-преступникам обрабатывать всю украденную информацию, производить поиск по определенным словам или IP-адресам, а также создавать фильтры для более быстрого поиска необходимых данных.
MSNPhoto.A – это червь, распространяющийся через MSN Messenger. Этот вредоносный код попадает в компьютер в виде иконки или изображения, на самом деле скрывающего исполняемый .exe-файл.
При запуске MSNPhoto.A закрывает все открытые пользователем окна MSN Messenger и рассылает по всем контактам сообщение с предложением открыть файл под названием fotos_posse.zip, который на самом деле является копией червя.
Этот червь также блокирует открытие диспетчера задач, за счет чего предотвращает закрытие MSN Messenger самим пользователем. Также он старается загрузить из интернета несколько файлов. Кроме того, он редактирует реестр Windows, чтобы обеспечить себе загрузку при каждом запуске системы.
"Службы мгновенных сообщений, такие как MSN Messenger, Yahoo!Messenger, AIM, и др., активно используются как домашними пользователями, так и бизнесом. Поэтому сам факт их широкого распространения делает их великолепным средством для распространения вредоносного ПО, которое использует такие службы для того, чтобы проникнуть в как можно большее количество компьютеров", - объясняет Корронс.
Вторым червем в нашем отчете стал Ridnu.D. Этот вредоносный код, как и все остальные варианты семейства Ridnu, занимается демонстрацией надоедливых сообщений. Он, например, заменяет “пуск” на “Mr_CoolFace Has Come!”. Также он изменяет название “Мои документы” на “Mr_CoolFace”, а при каждом открытии Блокнота пользователь видит надпись “Dear my princess”.
Одним из вредоносных действий Ridnu.D является создание нескольких записей в реестре Windows с целью изменения аспекта панели задач Windows Explorer и обеспечения своего запуска при каждой загрузке компьютера. |
