| English version | Распечатать |
***
…Намедни получил очередное электронное письмо с "сюрпризом":
«От: Finance Dept.. [reception@healwellmedical.com]
Тема: Payment Notification (Уведомление о платеже)
Dear Vendor, Please find attached a copy of your payment notification as instructed by your client. Please do not reply as this was sent from an unattended mailbox. Kindly Regards, Payment Notifications. To read FirstRand Bank's Disclaimer for this email click on the following address or copy into your Internet browser: https://www.fnb.com/disclaimer.html. If you are unable to access the Disclaimer, send a blank e-mail to firstrandbankdisclaimer@fnb.com and we will send you a copy of the Disclaimer».
(Уважаемый поставщик (продавец, производитель), пожалуйста, приложите копию вашего уведомления об оплате в соответствии с инструкциями вашего клиента. Не отвечайте на это письмо, так как оно было создано автоматически. С наилучшими пожеланиями, Уведомления о платежах. Чтобы прочитать отказ FirstRand Bank от ответственности за это письмо, нажмите на следующий адрес или скопируйте его в свой интернет-браузер: https://www.fnb.com/disclaimer.html. Если вы не можете получить доступ к этой веб-странице, отправьте пустое электронное письмо на firstrandbankdisclaimer@fnb.com, и мы отправим вам копию заявления об отказе от ответственности).
Письмо содержит вредоносное вложение – архив TT Copy.r00 (111 781 байт), содержащий вирус TT Copy........................................................................................................................................exe (294 912 байт). Для маскировки вируса – чтобы скрыть от глаз пользователя, что это исполняемый файл – после имени файла вставлено 135 точек!..
К письму добавлены ложные заголовки "Received:".
Злоумышленник скрывается за ip-адресом 103.247.98.236 (закреплён за индийским провайдером, город Jaipur).
При переходе по адресу www.fnb.com/disclaimer.html открывается 404-я страница (First National Bank): «Not Found. We apologize for any inconvenience, but the page you are searching for does not exist. Please visit our home page or use our search tool to find the information you are looking for. Thank you!».
Вирус является сетевым червем (с характерными признаками трояна), предназначенным для 32-битной платформы ОС Windows с процессором x86. Осуществляет импорт системных библиотек MSVBVM60.DLL, KERNEL32.DLL, USER32.DLL, GDI32.DLL, ADVAPI32.DLL, OLE32.DLL, OLEAUT32.DLL.
Исполняемый (Portable Executable) файл вируса имеет имя Chopper.exe (294 912 байт; "Chopper" в переводе с английского – "секач, сучкорез, лесоруб, дробилка, прерыватель, пулемёт, автомат"). Упакован UPX.
Вирус – резидентный, на заражённом ПК он грузится вместе с операционной системой и постоянно присутствует в оперативной памяти. Распространяется с помощью Глобальной, локальных, p2p-сетей, а также съёмных носителей.
***
Деструктивные действия вируса:
– в корневой директории диска C:\ и в системных каталогах %APPDATA%\, %TEMP%\, %USERPROFILE%\, %WINDIR%\, %WINDIR%\System32\ создаёт копии исполняемых файлов вируса с названием Chopper.exe;
– изменяет некоторые ключи Реестра Windows (в разделах [HKLM\SOFTWARE\] и [HKLM\SYSTEM\]);
– при загрузке операционной системы внедряется в адресное пространство Проводника Windows (Explorer.exe) и системных процессов svchost.exe, alg.exe, smss.exe, winlogon.exe;
– открывает на локальном ПК необходимые для связи с серверами злоумышленников UDP- и TCP-порты;
– загружает с серверов злоумышленников и устанавливает на локальный ПК сопутствующее вредоносное программное обеспечение;
– в фоновом режиме запускает установленные в системе веб-браузеры и загружает рекламу, приносящую доход злоумышленникам;
– отслеживает подключаемые к заражённому ПК съёмные носители (при подключении копирует на них исполняемый файл Chopper.exe);
– …
***
Как не стать жертвой кибермошенников:
– используйте антивирус и брандмауэр, регулярно обновляйте их;
– регулярно выполняйте антивирусную проверку своего ПК – для своевременного обнаружения вредоносного программного обеспечения;
– своевременно устанавливайте обновления операционной системы и прикладного программного обеспечения;
– не отвечайте на сомнительные электронные письма и не переходите по ссылкам, указанным в них;
– не открывайте вложения электронных писем от неизвестных отправителей;
– …
Валерий Сидоров
***
• Дело о…
• Apple = iСтив + iPod + iPhone + iPad + iTunes + iMac + …
• Apps for iPad, iPhone, iPod touch…