Получаемое пользователем сообщение содержит приглашение посмотреть "прикольную флэшку" и ссылку, по которой эта "флэшка" находится. Скачиваемый файл (oPreved.exe) действительно имеет значок флэш-ролика, но на самом деле — это троянец, перехватывающий пароли.
После запуска oPreved.exe создаются файлы: %System%Expllorer.exe (223 392 байта. Детектируется антивирусом Dr.Web как Win32.HLLW.MyBot), %windir%tempxer.exe (223 392 байта. Детектируется антивирусом Dr.Web как Win32.HLLW.MyBot) и временный файл C:a.bat. Файл Expllorer.exe прописывается в автозагрузку, создавая следующие ключи в системном реестре:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun «Shel»=Expllorer.exe; HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices «Shel»=Expllorer.exe.
Передача паролей происходит через скрипт на сайте hxxp://220web.ru. Передаются все собранные пароли в системе: icq, ftp, почтовые сервисы, dialup, trilian, miranda и т.д. Также Trojan.PWS.LDPinch пытается обойти межсетевые экраны — как встроенный в операционную систему, так и некоторых сторонних разработчиков.
Компания "Доктор Веб" призывает пользователей быть внимательными и не открывать ссылки, пришедшие в сообщениях ICQ от неизвестных адресатов.
Заказав эту услугу, Вас смогут все увидеть в блоке "Макспаркеры рекомендуют" - тем самым Вы быстро найдете новых друзей, единомышленников, читателей, партнеров.
Оплата данного размещения производится при помощи Ставок. Каждая купленная ставка позволяет на 1 час разместить рекламу в специальном блоке в правой колонке. В блок попадают три объявления с наибольшим количеством неизрасходованных ставок. По истечении периода в 1 час показа объявления, у него списывается 1 ставка.
Сейчас для мгновенного попадания в этот блок нужно купить 1 ставку.
Комментировать