Вирус в Skype: invoice.pdf.exe - Win32/Caphaw.A

[CENTER][IMG]http://www.mediafire.com/convkey/cd80/qk3jhmmmeoosxek4g.jpg[/IMG][/CENTER]

Очередная вредоносная программа, распространение которой осуществляется путём рассылки сообщений в [URL="http://skype.com"]Skype[/URL].
Ничего принципиально нового с схеме распространения нет, пользователю приходит сообщение со ссылкой на файл [B]invoice.pdf.exe[/B], в проводнике такой файл внешне похож на документ [B]PDF[/B], а второе, настоящее расширение, по умолчанию скрыто.

[I]Названия в различных классификациях[/I]

[B][COLOR="#800080"]Trojan.Win32.Agent.acqrq[/COLOR][/B] - Лаборатория Касперского
[B][COLOR="#800080"]Backdoor:Win32/Caphaw.A[/COLOR][/B] - Microsoft
[B][COLOR="#800080"]Trojan.Shylock[/COLOR][/B] - Symantec
[B][COLOR="#800080"]Win32/Caphaw.I[/COLOR][/B] - ESET
[B][COLOR="#800080"]BackDoor.Caphaw.2[/COLOR][/B] - Dr.Web

[CENTER][IMG]http://www.mediafire.com/convkey/f6fc/imwa2v75bckb85z4g.jpg[/IMG][/CENTER]

[B]Кратко рассмотрим действия, выполняемые на зараженном компьютере:[/B]

[B]1.[/B] Троянская программа помещает свою копию с произвольным именем в один из каталогов легитимной программы, находящийся в системном каталоге Application Data, например skype или microsoft (встречалось множество других вариантов).

[I]Здесь хочется в очередной раз отметить, что функция "Контроль учетных записей", известная пользователям, начиная с Windows Vista способна предотвратить заражение. К сожалению, многие считают её бесполезной.[/I]

[B]2.[/B] Создается ключ реестра, отвечающий за автозапуск вредоносной программы. Он имеет следующий вид:
[CODE]HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, [COLOR="#FF8C00"]J+dktnsoVBMbJwJN6uKKmQ==[/COLOR][/CODE]
символы, выделенные оранжевым цветом случайны для каждой системы.

[B]3.[/B] Caphaw.A может взаимодействовать с сетью Интернет, получая обновления, а также имеет возможность рассылать свои копии через skype. Некоторые пользователи отмечают нестабильную работу браузеров.

[B][SIZE=3][B]4.[/B] Троянские программы этой группы обладают возможностью кражи паролей. Настоятельно рекомендуется сменить пароли от сервисов онлайн-банкинга после лечения![/SIZE][/B]

[CENTER][IMG]http://www.mediafire.com/convkey/f6fc/imwa2v75bckb85z4g.jpg[/IMG][/CENTER]

[B]Если Вы получили такое сообщение и открыли файл, выполните следующие шаги:[/B]

[B]1.[/B] В программе [B]Skype[/B] откройте меню "[I][B]Инструменты - Настройки[/B][/I]", перейдите в группу "[B][I]Дополнительные[/I][/B]" и кликните ссылку "[B][I]Контроль доступа других программ к Skype[/I][/B]". В результате откроется окно, которое должно быть [B]пустым[/B], за исключением случаев, в которых Вы лично разрешили приложению использовать функции skype (например, некоторые проигрыватели медиа имеют такую возможность). Если же в списке присутствуют посторонние приложения - удалите их.

[B]2.[/B] Воспользуйтесь сервисом [URL="http://virusdetector.ru"]VirusDetector[/URL], чтобы получить отчет о состоянии Вашей системы.

[B]3.[/B] [URL="http://virusinfo.info/showthread.php?t=121951"]Откройте новую заявку[/URL] в разделе "[URL="http://virusinfo.info/forumdisplay.php?f=46"]Помогите![/URL]".

[B]4.[/B] Т.к. нормальная работа Skype может быть нарушена, рекомендуется переустановить его после того, как лечение будет завершено.

[CENTER][IMG]http://www.mediafire.com/convkey/f6fc/imwa2v75bckb85z4g.jpg[/IMG][/CENTER]

[B]Примеры обращений:[/B]

[url]http://virusinfo.info/showthread.php?t=148871[/url]
[url]http://virusinfo.info/showthread.php?t=148873[/url]
[url]http://virusinfo.info/showthread.php?t=148790[/url]
[url]http://virusinfo.info/showthread.php?t=148792[/url]

[B]Новости по теме:[/B]

[url]http://virusinfo.info/showthread.php?t=149617[/url]