"Лаборатория Касперского" сообщает об обнаружении червя-кейлоггера, использующего оригинальную технологию маскировки
"Лаборатория Касперского", ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, сообщает об обнаружении нового почтового полиморфного червя-кейлоггера, использующего оригинальный механизм сокрытия своего присутствия в системе.
Червь, получивший название Email-Worm.Win32.Lover.a, распространяется по каналам электронной почты - пользователю приходит письмо с вложенным файлом to_my_love.scr, при запуске которого на экран выводится яркая демонстрация, напоминающая скринсейвер "Геометрический вальс". Картинка генерируется в реальном времени с использованием фрактальной геометрии. Однако данный файл не является скринсейвером, а представляет собой кейлоггер, записывающий все, что пользователь набирает на клавиатуре при работе с веб-браузерами, почтовыми и IM-клиентами (Opera, Firefox, Internet Explorer, The Bat!, MSN Messenger, ICQ, QIP и другими).
Механизм сокрытия присутствия червя Email-Worm.Win32.Lover.a в системе реализован оригинальным образом. Для заражения он использует программный код, которым инфицирует исполняемые файлы вышеупомянутых программ, разделяя код инфекции для каждого из приложений на несколько частей, что серьезно затрудняет его обнаружение. При запуске зараженного приложения программный код вируса занимает 4 Кб памяти, где собирает свое тело, и далее записывает в папке Windows файл с именем ia*.cfg. В этот файл сохраняются коды нажатых пользователем клавиш. Как показало исследование червя, проведенное аналитиками "Лаборатории Касперского", файл с отслеженными вредоносной программой данными отправляется на FTP-сервер rdtsc.***.com.
Червь Email-Worm.Win32.Lover.a применяет нетипичную для таких программ маскировку своего основного функционала, скрываясь за красивыми картинками и выдавая себя за скринсейвер. Лексика, обнаруженная в коде вредоносной программы, даёт основания предположить, что автор червя является русскоговорящим.
Детектирование вредоносной программы Email-Worm.Win32.Lover.a было добавлено в сигнатурные базы Антивируса Касперского в 17 часов 23 июня 2008 года.
"Лаборатория Касперского" призывает пользователей проявлять осторожность при получении от незнакомых отправителей электронных писем, содержащих вложения, а также не забывать о необходимости регулярного обновления антивирусной программы.
 Похожие по содержанию материалы раздела: «АРМО-Системы» стала официальным дистрибьютором систем ОПС Vesda и ее компонентов Выпущен новый аппаратно-программный комплекс от Etegro Technologies, «Доктор Веб» и Novell В Дагестанской таможне появился «автомобиль-сканер» Университет Пенсильвании сообщил о разработке технологии, которая способна сделать возможным перевод автомобилей на водородное топливо. Спамология Google позволит мобильникам определять местоположение владельца даже без приемника GPS Отчет о проведении V Международной научно-практической конференции «PKI – форум 2007» Многофункциональный CCTV тестер Wonwoo Engineering co., Lspan Rapport 337 Емкостные устройства для технических средств охраны Хакер-тинейджер подозревается в создании опасного вируса Мировая война в Интернете охватила более 120 стран Департамент безопасности на транспорте США недоволен биометрической системой ИСДУО (интеллектуальная система дистанционного управления объектом) «Glasis» - новая технология спокойствия VOCORD VoiceID — система идентификации дикторов Вышел отчет «Лаборатории Касперского» об информационных угрозах III квартала 2007 г.
|
