В среду обнаружена новая троянская программа , специализирующаяся на пользователях сетевой платежной системы .
Как сообщает "" троянец имеет довольно сложную систему проникновения на компьютер пользователя. Для начала незадачливому пользователю предлагается скачать из Интернета какой-нибудь безобидный с виду файл. Например, файл Photo.scr, который после скачивания открывается как картинка, или файл Sponsors_pay_WM.exe, представляемый как продукт "Billing Systems". Названия файлов могут меняться. Указанные файлы являются одновременно программами-инсталяторами самого троянца - так называемыми "дропперами".
Проникая в систему, троянская программа netcfgh.exe, работающая в среде Win32, регистрируется в файле system.ini, что позволяет ей запускаться при каждом перезапуске Windows и разрешает модему авто-набор.
Через некоторое время троянец создает в системе "черный ход". Эта процедура затем связывается с ftp-севером по адресу ftp://ftp.bizland.com и скачивает оттуда дополнительные компоненты - программы heak.exe, teen1.exe и другие, которые выполняют в зараженной системе самые различные функции - например,
мониторят нажатие клавиш, отслеживая таким образом логины и пароли пользователя, архивируют необходимые данные и так далее.
Кроме того, вредоносная программа инсталлирует скрипт, который позволяет удаленно скачивать с зараженного компьютера файлы, выкладывать файлы на компьютер, запускать исполняемые приложения, перемещать и удалять файлы на зараженном компьютере и, самое главное, передавать "хозяину" троянца необходимые данные.
Троянец также сканирует систему в поисках каталогов пользователя платежной системы WebMoney. Их названия затем передаются "хозяину" троянца, который может использовать полученные данные, например, для перевода денег с пользовательских счетов на свои.
Copyright © 2000-2002 Нетоскоп