Новый троян Trojan.Spambot может красть учетные записи почтовых клиентов. Среди потенциальных жертв программы – пользователи Microsoft Outlook и The Bat!. Программа также может копировать данные, используемые функцией автозаполнения браузера и передавать их злоумышленникам.
Вирус загружает в систему вредоносную библиотеку – в обход встроенного брандмауэра. Запущенный вирус уничтожает некоторые важные процессы, записывает себя в одну из папок на жестком диске компьютера и заменяет собой процесс svcnost.exe, после чего записывает ссылку в реестр и загружается в автоматическом режиме, сообщает Cybersecurity.

Также вирус вносит изменения в системный реестр и меняет файл hosts. При этом вирус блокирует доступ пользовательского компьютера к сайтам производителей антивирусных программ.

Троян распространяется с помощью бот-сети Backdoor.Andromeda. Вирус отправляет последовательность запросов на случайные IP-адреса компьютеров, входящих в состав ботнета. Дальше вирус передает на обнаруженный таким образом удаленный сервер все учетные данные почтовых клиентов Microsoft Outlook и The Bat!, далее с удаленного компьютера осуществляется попытка отправить спам. Если рассылка прошла успешно, вирус начинает активную рассылку спама, содержащую, в том числе, рекламу запрещенных препаратов, пишет Securitylab.

Половина компаний из списка Fortune 500 и ряд американских правительственных агентств пострадали от вредоносного ПО под названием DNS Changer. Этот крайне опасный «троян» переадресовывает пользователя на подставные сайты, где владелец компьютера может оказаться жертвой «фишеров» и других кибер-мошенников, охотящихся за персональной информацией.

В период своей пиковой активности DNS Changer одновременно присутствовал на четырех миллионах систем на базе Windows и Mac OS (примерно четверть компьютеров зарегистрированы на территории США). По этой причине вирус привлек к себе пристальное внимание правоохранительных органов и спецслужб. Кульминацией двухлетнего расследования стала операция «Ghost Click», в рамках которой были задержаны шестеро граждан Эстонии. Агенты ФБР также взяли под свой контроль более сотни серверов в американских дата-центрах, используемых для координирования работы инфицированных систем.

Представители компании Internet Identity (IID), известного поставщика защитных сервисов для крупных корпоративных клиентов и госучреждений, поделились информацией о масштабах угрозы. Ссылаясь на результаты собственного исследования и данные от сторонних компаний, эксперты из IID утверждают, что в начале этого года зараженными оставались как минимум 250 компаний из списка Fortune 500, а также 27 из 55 правительственных агентств. Под заражением эксперты подразумевают наличие на предприятии по меньшей мере одного компьютера или маршрутизатора, на котором установлено приложение DNS Changer.

Специалисты утверждают, что даже «обезглавленный» вирус представляет собой серьезную опасность. Вредоносное приложение оснащено механизмами самозащиты, которые блокируют обновление установленных программ и отменяют установку антивирусов. Таким образом, скомпрометированные компьютеры могут оказаться уязвимыми для других угроз.

По материалам сайта PCWorld.