Троянец подключает компьютеры белорусов к бот-сети через Skype

Источник материала:

Пользователей Байнета вновь захлестнула волна вирусных рассылок через Скайп. Как сообщили IT.TUT.BY специалисты антивирусной компании “ВирусБлокада”, на этот раз троян подключает зараженные компьютеры к бот-сети. Для владельца компьютера его вредоносная деятельность может быть незаметна, но в отдельных случаях могут наблюдаться существенные “тормоза” во время работы.

Компьютеры белорусов уже становились жертвами массовой спам-рассылки через Skype в октябре прошлого года. Теперь они вновь получают от абонентов, добавленных в список контактов, сообщения, содержащие ссылку с вредоносным ПО. Только на этот раз “заманчивое” предложение меняется от пользователя к пользователю. Начиная от просто “посмотри на эту фотографию”, заканчивая более персонализированным “посмотри – он похож на Путина”.

При открытии ссылки начинается загрузка исполняемого файла, содержащего опасную троянскую программу класса Trojan-Downloader, которая детектируется антивирусом VBA32 как Trojan-Downloader.1413. В свою очередь, она загружает вредоноcную программу класса Backdoor размером 225 280 байт (детектируется VBA32 как Backdoor.IRCBot.1413). Для шифрования файлов использовалась программа, написанная на Visual Basic. Помимо прочего, криптор детектирует виртуальные машины – такие как VMware – и не работает на них, что затрудняет анализ вредоносной программы.



Backdoor является сетевым червем и IRC-ботом. Он может распространяться через файл автозапуска autorun.inf (в том числе через флешки), прописываясь в ветку реестра Software\Microsoft\Windows\CurrentVersion\Run. При этом вредоносный файл копирует себя в папку %APPDATA%\7658354235994425565\winsvc.exe и пытается распространяться через вложения в электронной почте.

Заразившиеся вирусом пользователи жаловались на замедление работы компьютера, периодические зависания и “тормоза”. В то же самое время специалисты компании подчеркнули, что если объем оперативной памяти достаточно большой, то его владелец может и не заметить каких-то существенных изменений.

Для удаления вредоносной программы необходимо удалить файл winsvc.exe, а также ссылку на него из реестра.

Чтобы не попадаться в эту ловушку впредь, “ВирусБлокада” рекомендует проверить настройки Skype. В разделе Настройки > Дополнительно > Расширенные настройки > Контроль доступа других программ к Skype не должно быть никаких программ.




Чтобы убедиться, что вы получили сообщение от реального человека, специалисты по информационной безопасности рекомендуют задавать виртуальному собеседнику больше вопросов. Только таким образом можно убедиться, что сообщение со ссылкой в ICQ, Skype или в социальной сети не является результатом автоматической рассылки с зараженного компьютера.

Ну и, наконец, самый распространенный, но на практике часто игнорируемый совет. Регулярно обновляйте программное обеспечение. К числу программ, которые необходимо своевременно обновлять, относятся не только антивирусные программы и ОС Windows, но и надстройки браузеров – Adobe Flash Player, Sun Java и Adobe Reader.