Появилась новая модификация из семейства вредоносного ПО Win32.Runnet - Trojan.Rmnet (по классификации Dr.WEB), которая способна заражать главную загрузочную запись (MBR). Основная задача данного вредоносного ПО - кража паролей от популярных ftp-клиентов, таких как Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP. Обнаружение затруднено тем, что троян запускается раньше установленного на компьютере антивируса. Троян проникает на компьютер с зараженных флеш-накопителей или при запуске инфицированных исполняемых файлов. Троянец инфицирует файлы с расширениями .exe, .dll, .scr, .html, .htm, а в некоторых случаях — .doc и xls, при этом программа способна создавать на съемных накопителях файл autorun.inf. Непосредственно после своего запуска троянец модифицирует главную загрузочную запись, регистрирует системную службу Micorsoft Windows Service (она может играть в операционной системе роль руткита), пытается удалить сервис RapportMgmtService и встраивает в систему несколько вредоносных модулей, отображающихся в Диспетчере задач Windows в виде четырех строк с заголовком iexplore.exe.
Зараженный компьютер может быть использован злоумышленниками как для организации сетевых атак, так же и для размещения вредоносных объектов.
Компания «Доктор Веб» сообщает о появлении вредоносной программы BackDoor.Termuser, реализующей на зараженном компьютере функции бэкдора и открывающей к нему доступ злоумышленникам.
Данное вредоносное ПО может загружаться в процессе просмотра инфицированных веб-сайтов.
Специалисты компании «Доктор Веб» сообщают о работе данного вируса следующее.
"После загрузки в память BackDoor.Termuser копирует себя под случайным именем в системную папку Windows, либо во временную папку, если попытка записи в системную директорию не увенчалась успехом. Затем вредоносная программа регистрирует и запускает службу Network Adapter Events, после чего пытается остановить и удалить сервисы установленного в системе антивирусного ПО. Непосредственно после своей инсталляции BackDoor.Termuser собирает информацию о зараженном компьютере (включая версию операционной системы, IP-адрес, имя локального пользователя) и отправляет ее на удаленный сервер, затем загружает оттуда архив с программой BeTwinServiceXP.exe (удалённый рабочий стол RDP), распаковывает его и устанавливает приложение, отправляя злоумышленникам отчёт об успешном завершении этой операции. Затем вредоносная программа регистрирует в системе нового пользователя с именем TermUser, включает его в локальные группы «администраторы» и «пользователи удалённого рабочего стола», после чего скрывает пользователя при входе в систему. Наконец, BackDoor.Termuser копирует во временную папку файл троянца Trojan.PWS.Termuser и запускает его. Данный троянец выводит на экран стандартное окно авторизации Windows и блокирует его закрытие до тех пор, пока пользователь не введет свои логин и пароль, которые автоматически записываются в зашифрованном виде в реестр. Загрузившись в операционной системе, бэкдор BackDoor.Termuser не только не позволяет запускать антивирусные программы, но также способен выполнять поступающие из удаленного центра команды и передавать управление компьютером злоумышленникам."
Android.Wukong (4-7) по ОС Android, похищает средства со счетов пользователей путем отправки платных SMS-сообщений. Вредоносный код распространяется с нескольких сайтов на территории Китая, встраивается в приложения одного из крупнейших сборников легального ПО на сайте www.nduoa.com.
Вредоносное ПО запускается в качестве фонового процесса ОС, на полученный номер платного сервиса с периодичностью в 50 мин. отправляет SMS, начинающееся со строки "YZHC". Об отосланных СМС информация удаляется, скрывая следы своей деятельности.
Использована информация официальной рассылки компании "Доктор Веб"
