Главная » Новини » Віруси та шкідливі програми » Розсилка троянця від імені Amazon

Розсилка троянця від імені Amazon

28.06.2014

Один з улюблених способів зловмисників поширювати шкідливе ПО - масові розсилки. Так, 26 і 27 червня 2014 року фахівцями компанії «Доктор Веб» було виявлено факт розповсюдження по електронній пошті великої кількості повідомлень, що містять небезпечну троянську програму. Ці листи були відправлені нібито від імені широко відомої інтернет-компанії Amazon.

З 26 червня користувачі Інтернету стали регулярно одержувати електронною поштою повідомлення нібито від імені інтернет-порталу Amazon c інформацією про надходження замовлення. У листі користувачеві пропонується ознайомитися з деталізацією покупки і рахунком-фактурою. Повідомлення написано англійською мовою, і його текст однаковий у всіх відомих на сьогоднішній день випадках, розрізняються тільки дата і номер замовлення:

Hi,
Thank you for your order. We'll let you know once your item(s) have dispatched. You can view the status of your order or make changes to it by visiting Your Orders on Amazon.com.

Щоб завантажити зображення, клацніть правою кнопкою миші. Автоматичне завантаження малюнка з Інтернету в Outlook була скасована в цілях захисту конфіденційності особистих даних.

До листа додано ZIP-архів, в якому міститься виконуваний файл шкідливої програми BackDoor.Tishop.122, - самі вірусописьменники називають цю програму Smoke Loader. Призначення даного троянця полягає у завантаженні на інфікований комп'ютер інших шкідливих програм, завдяки чому незахищена антивірусною програмою система може перетворитися на справжній заповідник для різних загроз. Після свого запуску BackDoor.Tishop.122 виконує перевірку оточення на наявність «пісочниці» або віртуальної машини, створює свою копію в одній з папок на диску комп'ютера, реєструє себе відповідає за автозавантаження гілки реєстру Windows і вбудовується в ряд системних процесів. При наявності підключення до Інтернету троянець намагається завантажити на інфіковану машину інші шкідливі програми, після чого запускає їх.

Фахівці компанії «Доктор Веб» попереджає користувачів про необхідність виявляти пильність. Не відкривайте вкладення електронної пошти, отриманих від невідомих відправників, не намагайтеся переглянути прикладену до подібних повідомлень інформацію про замовлення, якщо ніяких замовлень в інтернет-магазинах ви не розміщували. При отриманні подібного листа його слід негайно видалити. BackDoor.Tishop.122 успішно детектується антивірусним ПЗ Dr.Web і тому не представляє небезпеки для наших користувачів.