В социальной сети Вконтакте активно распространяется довольно редкий троян, который маскируется под ключи для антивируса Dr.Web. Для распространения он использует в основном спам в комментариях, где он оставляет ссылку на скачивание архива с файлообменника RGhost. Внутри архива, как вы догадались, находится сама вредоносная программа.
Как выглядит троян?
Программа имеет значок простого текстового файла (и неудивительно, большинство пользователей не знают даже, что такое расширение файла), который обычный пользователь несомненно запустит.
Троян получил название Trojan.MulDrop7.26387, причем стоит сказать, что все версии файла отличались друг от друга, во избежание сигнатурного детекта вируса. Это говорит о том, что его разработчики не дремлют и постоянно его обновляют.
Что умеет эта \”лошадка\”?
После запуска бэкдор соединяется со своим управляющим сервером и отправляет на него информацию об инфицированном компьютере: серийный номер жесткого диска, версию и разрядность установленной ОС, имя компьютера, наименование его производителя, наличие и версию антивируса, а также присутствие подключенной к ПК веб-камеры. Троянец может выполнять следующие команды злоумышленников:
- заменить обои Рабочего стола Windows;
- выключить или перезагрузить компьютер;
- вывести на экран системное сообщение с заданным текстом;
- поменять местами функции кнопок мыши;
- воспроизвести с помощью динамиков заданную фразу, используя голосовой синтезатор;
- скрыть или снова отобразить Панель задач Windows;
- открыть или закрыть привод для оптических дисков;
- включить или выключить монитор;
- открыть в браузере заданную веб-страницу;
- прочитать, установить или удалить заданное значение системного реестра;
- получить и передать на управляющий сервер снимок экрана;
- скачать и запустить указанный исполняемый файл;
- обновить или удалить исполняемый файл троянца.
Одной из наиболее опасных функций бэкдора является встроенный кейлоггер, запоминающий нажатия клавиш. По команде эти данные загружаются на сервер злоумышленников. Кроме того, троянец способен неожиданно воспроизводить на экране зараженной машины SWF-ролики пугающего содержания.
Также специалисты компании Dr.Web отметили, что в последнее трояны с подобным функционалом встречаются довольно редко.
