Компания «Доктор Веб» обнаружила новое семейство троянцев

Компания «Доктор Веб» сообщила об обнаружении вредоносных программ семейства Trojan.OneX, которые при попадании на компьютер жертвы начинают рассылать спам в социальной сети Facebook и через программы-мессенджеры.

По словам специалистов компании, им удалось зафиксировать распространение двух модификаций этого троянца, незначительно различающихся по своим функциональным возможностям. Отмечается, что количество жертв злоумышленников при такой модели распространения может быть крайне велико.

Trojan.OneX работает только в 32-разрядной версии операционной системы Windows, в 64-разрядной ОС он завершает работу после загрузки с управляющего сервера текстового файла.

После запуска на инфицированной машине Trojan.OneX.1 проверяет наличие своей копии в операционной системе, а затем расшифровывает из собственных ресурсов адрес удаленного сервера, с которого загружается специальный текстовый файл. Этот файл содержит несколько строк на английском языке вида «hahaha! http://goo.gl[…].jpeg», на которые впоследствии будут подменяться сообщения пользователя, отправляемые им в социальную сеть Facebook. Сообщения заменяются строчками из данного файла только в режиме чата, при этом отправка оригинального послания блокируется. Каждый час троянец загружает с удаленного сервера новый конфигурационный файл.
Trojan.OneX.1 ищет в операционной системе запущенные процессы с именами firefox, iexplore и IEXPLORE, при обнаружении полностью встраивается в них и перехватывает функции, отвечающие за отправку сообщений.

Вторая версия - Trojan.OneX.2 отличается тем, что использует для отправки сообщений популярные программы-мессенджеры с помощью процессов pidgin, skype, msnmsgr, aim, icq.exe, yahoom, ymsg_tray.exe, googletalk, xfire.exe. В момент отправки сообщений на инфицированном компьютере блокируется мышь и клавиатура. В отличие от Trojan.OneX.1, Trojan.OneX.2 умеет работать с конфигурационными файлами в кодировке Unicode.

Среди рассылаемых троянцами сообщений распространены ссылки на принадлежащие злоумышленникам поддельные сайты: один из них, в частности, имитирует оформление службы RapidShare. Пользователю предлагают скачать под видом изображения в формате JPEG zip-архив, в котором располагается Photo14.JPG.scr — исполняемый файл (Trojan.Packed.22289), содержащий в себе троянца BackDoor.IRC.Bot.1446, который не только открывает злоумышленникам доступ к инфицированному компьютеру и способен похищать конфиденциальные данные, но и позволяет выполнять на зараженной машине различные команды, в частности, команду загрузки и установки других приложений.

Таким образом, специалисты компании зафиксировали случаи распространения с помощью троянцев BackDoor.IRC.Bot самой вредоносной программы Trojan.OneX, которая, в свою очередь, способствует дальнейшему распространению BackDoor.IRC.Bot.