Перейти к содержанию
AM_Bot

Вирусная рассылка в Skype продолжается

Автор AM_Bot, в Современные угрозы и защита от них

Recommended Posts

AM_Bot    48

AM_Bot
Опубликовано

Ранее мы уже сообщали о спам-рассылке в Skype. Пользователи одной из самых популярных программ для общения продолжают получать от абонентов, добавленных в список контактов, сообщения, содержащие текст «посмотри – он похож на Путина и ссылка» или «посмотри на эту фотографию и ссылка». В отличие от предыдущих спам-рассылок пользователю предлагается перейти по вполне стандартной ссылке  (в данном случае злоумышленники отказались от использования сервиса сокращения ссылок).

Skype_worm_image.jpgВирусная рассылка в Skype

При открытии ссылки начинается загрузка исполняемого файла, содержащего опасную троянскую программу класса Trojan-Downloader.

В рассматриваемом варианте скачивается файл размером 196 608 байт (детектируется антивирусом VBA32 как Trojan-Downloader.1413), который, в свою очередь, с того же сайта скачивает вредоноcную программу класса Backdoor размером 225 280 байт (в рассматриваемом варианте детектируется антивирусом VBA32 как Backdoor.IRCBot.1413). Для шифрования файлов использовалась программа, написанная на Visual Basic. Помимо прочего, криптор детектирует виртуальные машины (например, VMware) и не работает на них, что затрудняет анализ вредоносной программы.

Файл является сетевым червём и IRC-ботом. Может распространяться через файл автозапуска autorun.inf (в том числе через флэшки), прописываясь в ветку реестра SoftwareMicrosoftWindowsCurrentVersionRun. При этом вредоносный файл копирует себя в папку %APPDATA%7658354235994425565winsvc.exe и пытается распространяться через вложения в электронной почте.

Соответственно, для его удаления необходимо удалить файл winsvc.exe, и удалить ссылку на него из реестра.

Рекомендации

Пожалуйста, проверьте настройки Skype, чтобы избежать распространения вируса:

Настройки > Дополнительно > Расширенные настройки > Контроль доступа других программ к Skype – в данном разделе настроек не должно быть никаких программ.

skype_virus.jpg

Задавайте больше вопросов: получив сообщение со ссылкой в ICQ, Skype или личное сообщение в социальной сети, убедитесь, что это не автоматическая рассылка с заражённого компьютера.

Проверяйте куда на самом деле ведёт ссылка, ведь не исключено что она была сгенерирована с помощью сервисов сокращения ссылок и/или перенаправляет пользователя на другой веб-сайт или зараженную страницу.

Регулярно обновляйте программное обеспечение. Включите функцию автоматического обновления программного обеспечения, когда таковое доступно. К числу программ, которые необходимо своевременно обновлять, относятся: надстройки браузеров – Adobe Flash Player, Sun Java, Adobe Reader; базы и модули антивирусных программ, и, конечно же, необходимо своевременно устанавливать обновления безопасности для ОС Windows.

Подробнее

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Современные угрозы и защита от них

  • Сообщения

    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      ---------------------------------------------------------
       4.15.3
      ---------------------------------------------------------
       o Добавлен новый модуль uvsv для систем не младше Vista.
         Признаком его работы является номер версии uVS c буквой v на конце: 4.15.3v.
         Модуль позволяет получить более четкие шрифты при активном масштабировании.
         На системах младше Vista будет работать обычная версия 4.15.3.

       o Выбранный шрифт теперь применяется и к меню.

       o Добавлена подстройка размеров списка под размер шрифта в окне активности процессов.
         Улучшена функция сортировки процессов по загрузке GPU.

       o Добавлена подстройка размеров списка под размер шрифта в окне удаления программ.

       o Добавлена подстройка размеров списка под размер шрифта в окне списка сохраненных компьютеров.

       o На основе полученных дамп-файлов выявлены и исправлены ошибки:
         o Исправлена критическая ошибка в файле английской локализации (файл lclz).
         o Исправлена потенциальная критическая ошибка при попытке загрузки поврежденного файла сигнатур.
       
    • Ego Dekker
      Актуальные версии антивируса 17-го поколения

      От Ego Dekker · Опубликовано

      Домашние антивирусы для Windows были обновлены до версии 17.1.11.
    • Ego Dekker
      Новая версия бесплатного приложения ESET Online Scanner доступна пользователям

      От Ego Dekker · Опубликовано

      ESET Online Scanner был обновлён до версии 3.7.4.0.
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×