Ложный скринсейвер
"Лаборатория Касперского" сообщает о появлении нового почтового полиморфного червя-кейлоггера Email-Worm.Win32.Lover.a, выдающего себя за скринсейвер.
Вирус содержится во вложенном файле to_my_love.scr, при запуске которого на экран выводится яркая демонстрация, напоминающая скринсейвер "Геометрический вальс". Однако данный файл не является скринсейвером, а представляет собой кейлоггер, записывающий все, что пользователь набирает на клавиатуре при работе с веб-браузерами, почтовыми и IM-клиентами (Opera, Firefox, Internet Explorer, The Bat!, MSN Messenger, ICQ, QIP и другими).
Для сокрытия своего присутствия в системе червь Email-Worm.Win32.Lover.a применяет весьма оригинальную маскировку. Программный код, которым инфицируются исполняемые файлы вышеупомянутых программ, разделяется на несколько частей, что серьезно затрудняет его обнаружение. При запуске зараженного приложения программный код вируса занимает 4 Кб памяти, где собирает свое тело и далее записывает в папке Windows файл с именем ia*.cfg. В этот файл сохраняются коды нажатых пользователем клавиш.
Как показало исследование червя, проведенное аналитиками "Лаборатории Касперского", файл с отслеженными вредоносной программой данными отправляется на FTP-сервер rdtsc.***.com.
Вирус содержится во вложенном файле to_my_love.scr, при запуске которого на экран выводится яркая демонстрация, напоминающая скринсейвер "Геометрический вальс". Однако данный файл не является скринсейвером, а представляет собой кейлоггер, записывающий все, что пользователь набирает на клавиатуре при работе с веб-браузерами, почтовыми и IM-клиентами (Opera, Firefox, Internet Explorer, The Bat!, MSN Messenger, ICQ, QIP и другими).
Для сокрытия своего присутствия в системе червь Email-Worm.Win32.Lover.a применяет весьма оригинальную маскировку. Программный код, которым инфицируются исполняемые файлы вышеупомянутых программ, разделяется на несколько частей, что серьезно затрудняет его обнаружение. При запуске зараженного приложения программный код вируса занимает 4 Кб памяти, где собирает свое тело и далее записывает в папке Windows файл с именем ia*.cfg. В этот файл сохраняются коды нажатых пользователем клавиш.
Как показало исследование червя, проведенное аналитиками "Лаборатории Касперского", файл с отслеженными вредоносной программой данными отправляется на FTP-сервер rdtsc.***.com.
Ещё новости по теме:
18:20