Известный производитель антивирусных продуктов «Доктор Веб», предупреждает об участившихся случаях получения пользователями Интернета опасного спама, содержащего троянские программы. Якобы от почтовой службы UPS письма направлялись пользователю под видом личного сообщения. В нем жертве предлагалось заполнить специальный документ, в котором необходимо было указать адрес доставки. Кроме того, письмо содержало вложенный файл под значком Microsoft Word, попытавшись открыть который пользователь активировал вредоносную программу.

Свою деятельность троянец Trojan.Inject1.4969 начинает с создания копии в папке Application Data, заменяя исходный файл и прописывая себя в ветвь системного реестра, отвечающую за загрузку приложений. Далее он запускает explorer.exe со встроенным собственным кодом и начинает внедряться во все происходящие в системе процессы. После внедрения своего кода в explorer.exe или firefox.exe вредоносная программа обеспечивает HTTP-соединение с серверами, адреса которых содержаться в его коде. Шифруя свои запросы, троянец использует обычные функции MS Windows CryptoAPI.

Под учетной записью пользователя Trojan.Inject1.4969 начинает сбор информации и может передать злоумышленникам cookies браузеров Internet Explorer и Mozilla Firefox, что способно серьезно может навредить репутации. Инфицируя компьютер, вредоносная программа способна выполнять и другие злодеяния, например, перенаправлять запросы командному интерпретатору Windows, передавать злоумышленникам зараженные файлы и сообщать об имеющихся файлах в заданной директории.

добавлено: Tigeress