Никита Соловьев
06.11.2013, 01:40
http://www.mediafire.com/convkey/cd80/qk3jhmmmeoosxek4g.jpg
Очередная вредоносная программа, распространение которой осуществляется путём рассылки сообщений в Skype (http://skype.com).
Ничего принципиально нового с схеме распространения нет, пользователю приходит сообщение со ссылкой на файл invoice.pdf.exe, в проводнике такой файл внешне похож на документ PDF, а второе, настоящее расширение, по умолчанию скрыто.
Названия в различных классификациях
Trojan.Win32.Agent.acqrq - Лаборатория Касперского
Backdoor:Win32/Caphaw.A - Microsoft
Trojan.Shylock - Symantec
Win32/Caphaw.I - ESET
BackDoor.Caphaw.2 - Dr.Web
http://www.mediafire.com/convkey/f6fc/imwa2v75bckb85z4g.jpg
Кратко рассмотрим действия, выполняемые на зараженном компьютере:
1. Троянская программа помещает свою копию с произвольным именем в один из каталогов легитимной программы, находящийся в системном каталоге Application Data, например skype или microsoft (встречалось множество других вариантов).
Здесь хочется в очередной раз отметить, что функция "Контроль учетных записей", известная пользователям, начиная с Windows Vista способна предотвратить заражение. К сожалению, многие считают её бесполезной.
2. Создается ключ реестра, отвечающий за автозапуск вредоносной программы. Он имеет следующий вид:
HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, J+dktnsoVBMbJwJN6uKKmQ==
символы, выделенные оранжевым цветом случайны для каждой системы.
3. Caphaw.A может взаимодействовать с сетью Интернет, получая обновления, а также имеет возможность рассылать свои копии через skype. Некоторые пользователи отмечают нестабильную работу браузеров.
4. Троянские программы этой группы обладают возможностью кражи паролей. Настоятельно рекомендуется сменить пароли от сервисов онлайн-банкинга после лечения!
http://www.mediafire.com/convkey/f6fc/imwa2v75bckb85z4g.jpg
Если Вы получили такое сообщение и открыли файл, выполните следующие шаги:
1. В программе Skype откройте меню "Инструменты - Настройки", перейдите в группу "Дополнительные" и кликните ссылку "Контроль доступа других программ к Skype". В результате откроется окно, которое должно быть пустым, за исключением случаев, в которых Вы лично разрешили приложению использовать функции skype (например, некоторые проигрыватели медиа имеют такую возможность). Если же в списке присутствуют посторонние приложения - удалите их.
2. Воспользуйтесь сервисом VirusDetector (http://virusdetector.ru), чтобы получить отчет о состоянии Вашей системы.
3. Откройте новую заявку (http://virusinfo.info/showthread.php?t=121951) в разделе "Помогите! (http://virusinfo.info/forumdisplay.php?f=46)".
4. Т.к. нормальная работа Skype может быть нарушена, рекомендуется переустановить его после того, как лечение будет завершено.
http://www.mediafire.com/convkey/f6fc/imwa2v75bckb85z4g.jpg
Примеры обращений:
http://virusinfo.info/showthread.php?t=148871
http://virusinfo.info/showthread.php?t=148873
http://virusinfo.info/showthread.php?t=148790
http://virusinfo.info/showthread.php?t=148792
Новости по теме:
http://virusinfo.info/showthread.php?t=149617
Очередная вредоносная программа, распространение которой осуществляется путём рассылки сообщений в Skype (http://skype.com).
Ничего принципиально нового с схеме распространения нет, пользователю приходит сообщение со ссылкой на файл invoice.pdf.exe, в проводнике такой файл внешне похож на документ PDF, а второе, настоящее расширение, по умолчанию скрыто.
Названия в различных классификациях
Trojan.Win32.Agent.acqrq - Лаборатория Касперского
Backdoor:Win32/Caphaw.A - Microsoft
Trojan.Shylock - Symantec
Win32/Caphaw.I - ESET
BackDoor.Caphaw.2 - Dr.Web
http://www.mediafire.com/convkey/f6fc/imwa2v75bckb85z4g.jpg
Кратко рассмотрим действия, выполняемые на зараженном компьютере:
1. Троянская программа помещает свою копию с произвольным именем в один из каталогов легитимной программы, находящийся в системном каталоге Application Data, например skype или microsoft (встречалось множество других вариантов).
Здесь хочется в очередной раз отметить, что функция "Контроль учетных записей", известная пользователям, начиная с Windows Vista способна предотвратить заражение. К сожалению, многие считают её бесполезной.
2. Создается ключ реестра, отвечающий за автозапуск вредоносной программы. Он имеет следующий вид:
HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, J+dktnsoVBMbJwJN6uKKmQ==
символы, выделенные оранжевым цветом случайны для каждой системы.
3. Caphaw.A может взаимодействовать с сетью Интернет, получая обновления, а также имеет возможность рассылать свои копии через skype. Некоторые пользователи отмечают нестабильную работу браузеров.
4. Троянские программы этой группы обладают возможностью кражи паролей. Настоятельно рекомендуется сменить пароли от сервисов онлайн-банкинга после лечения!
http://www.mediafire.com/convkey/f6fc/imwa2v75bckb85z4g.jpg
Если Вы получили такое сообщение и открыли файл, выполните следующие шаги:
1. В программе Skype откройте меню "Инструменты - Настройки", перейдите в группу "Дополнительные" и кликните ссылку "Контроль доступа других программ к Skype". В результате откроется окно, которое должно быть пустым, за исключением случаев, в которых Вы лично разрешили приложению использовать функции skype (например, некоторые проигрыватели медиа имеют такую возможность). Если же в списке присутствуют посторонние приложения - удалите их.
2. Воспользуйтесь сервисом VirusDetector (http://virusdetector.ru), чтобы получить отчет о состоянии Вашей системы.
3. Откройте новую заявку (http://virusinfo.info/showthread.php?t=121951) в разделе "Помогите! (http://virusinfo.info/forumdisplay.php?f=46)".
4. Т.к. нормальная работа Skype может быть нарушена, рекомендуется переустановить его после того, как лечение будет завершено.
http://www.mediafire.com/convkey/f6fc/imwa2v75bckb85z4g.jpg
Примеры обращений:
http://virusinfo.info/showthread.php?t=148871
http://virusinfo.info/showthread.php?t=148873
http://virusinfo.info/showthread.php?t=148790
http://virusinfo.info/showthread.php?t=148792
Новости по теме:
http://virusinfo.info/showthread.php?t=149617