Новый червь крадет данные у геймеров
"Лаборатория Касперского" называет нового интернет-червя Fleming, а Panda Software — Rodok. Данная вредоносная программа представляет собой 32-битное приложение Windows (файл EXE) размером 53 248 байт, написанное на языке программирования Visual Basic. Червь распространяется при помощи интернет-пейджера Windows (.NET) Messenger, встроенного в Windows XP, используя методы "социального инжиниринга": он пытается привлечь внимание пользователей и заставить их скачать с сайта некую программу. Письмо выглядит следующим образом:
Hey!! Could you please check out this program for me? :) I made it myself and want people to test it. Its a readme with the program that explains what it does! http://home.no.net/downl0ad/BR2002.exe — There you can download it! give me advices on what to upgrade please!!
Указанный интернет-адрес содержит копию червя. При запуске файла червь выдает себя за программу генерации ключей к компакт-дискам, отображая на экране окошко с соответствующей записью. При этом программа не устанавливает себя в систему, а срабатывает, только будучи запущенной пользователем (например, при двойном щелчке по его пиктограмме в Проводнике Windows).
Будучи запущенным, червь пытается скачать и запустить два файла с интернет-сайта http://home.no.net/downl0ad/. Загруженные файлы сохраняются по следующим путям:
C:\update35784.exe
C:\hehe2397824.exe
С помощью этих файлов-троянов злоумышленник может получить удаленное управление над компьютером жертвы. Антивирусы Panda обнаруживают троян под именем Bck/Brat. Затем червь соединяется с приложением Windows (.NET) Messenger и ожидает входящих сообщений. При получении некоторых сообщений от пользователя styggefolk@hotmail.com он посылает ответ, содержащий регистрационную информацию (CD-Key) от Half-Life и Counter-Strike, а также находит список адресатов Windows (.NET) Messenger и рассылает по нему свое сообщение.
