Опасный вирус выдает себя за MSN Messenger с целью кражи конфиденциальных данных пользователя

13.01.2006

Лаборатория PandaLabs сообщает о появлении трояна Spymaster.A, разработанного специально для кражи информации с компьютеров. Он комбинирует в себе свойства шпионских программ и клавиатурных шпионов, что позволяет ему захватывать любую информацию – от перемещений пользователя в Интернете до паролей, вводимых в онлайновых банках.

Кроме того, благодаря своей системе маскировки, он способен выдавать себя за приложение MSN Messenger, поэтому пользователи не будут осознавать его присутствия в системе.

Как и большинство троянов, Spymaster.A не способен распространяться самостоятельно, поэтому ему требуется участие злоумышленника. Он может приходить на компьютер в виде вложений в электронных письмах или скачиваться с веб-страниц через Р2Р приложения, системы обмена мгновенными сообщениями или с зараженных компакт-дисков и дискет.

Попав на компьютер, Spymaster.A создает свою копию в виде файла syscont.exe. Ассоциированный с этим файлом процесс называется Win servico. Однако он использует систему маскировки, при которой, если пользователь просматривает активные процессы в диспетчере задач, отображаться будут только процессы, якобы принадлежащие MSN Messenger. Процесс в действительности скрывает действия Spymaster.A. Вирус также создает несколько записей в реестре Windows для того, чтобы обеспечить свой запуск при каждом запуске компьютера.

Троян также создает текстовый файл syslogy.cc. Этот файл хранит данные об используемых на компьютере программах, посещенных веб-страницах и всю информацию, введенную с клавиатуры. Этот файл будет отправлен по протоколу FTP на адрес, где злоумышленник может забрать его.

Чтобы помочь как можно большему количеству пользователей проверить и вылечить свои системы, Panda Software предлагает воспользоваться бесплатным антивирусом Panda ActiveScan.

Веб-мастеры, желающие разместить ActiveScan на своих сайтах могут бесплатно получить HTML-код.

Клиенты Panda Software, которые еще не обладают технологией TruPreventTM, могут скачать обновление для своих антивирусов, позволяющее установить ее и обеспечить наличие у них превентивной защиты от неизвестных вирусов и вторжений. Для пользователей других антивирусов, идеальным решением является продукт Panda TruPreventTM Personal, являющийся совместимым с продуктами других производителей и дополняющий их, также предоставляя второй слой защиты, которая начинает действовать, пока новый вирус еще изучается и для него подготавливается вакцина.

Справка

С 1990 года миссией PandaLabs был как можно более быстрый анализ новых угроз для защиты наших клиентов. Несколько команд, каждая из которых специализируется на конкретном типе вредоносного ПО (вирусы, черви, трояны, шпионы, фишинг, спам и т.д.), работают круглосуточно, предоставляя непрерывную поддержку. В достижении этого им на помощь приходит технология TruPrevent™, действующая как глобальная система раннего оповещения, состоящая из стратегически распределенных сенсоров, нейтрализующих новые угрозы и отправляющих их в PandaLabs на анализ. По данным Av.Test.org, PandaLabs в настоящий момент является быстрейшей лабораторией по предоставлению обновлений пользователям во всей отрасли (более подробная информация на www.viruslab.ru).