Новая вредоносная программа Trojan.OneX.2


Trojan.OneX - вредоносная программа, предназначенная для заражения компьютеров и последующей рассылки спама с них в социальной сети Facebook, а также через программы-мессенджеры.

Trojan.OneX работает только в 32-разрядной версии ОС Windows, в 64-разрядной ОС он завершает работу после загрузки с управляющего сервера текстового файла. Запустившись на инфицированной машине Trojan.OneX.1 проверяет наличие своей копии в операционной системе, а затем расшифровывает из собственных ресурсов адрес удаленного сервера, с которого загружается специальный текстовый файл. Этот файл содержит несколько строк на английском языке вида

  • "hahaha! http://goo.gl[…].jpeg"

на которые будут подменяться сообщения пользователя, отправляемые им в социальную сеть Facebook. Сообщения заменяются строчками из данного файла только в режиме чата, при этом отправка оригинального послания блокируется. Каждый час троян загружает с удаленного сервера новый конфигурационный файл.

Trojan.OneX.1 ищет в операционной системе запущенные процессы с именами

  • firefox;
  • iexplore;
  • IEXPLORE


при обнаружении полностью встраивается в них и перехватывает функции, отвечающие за отправку сообщений.


Trojan.OneX.2 - троян, использующий для отправки сообщений популярные программы-мессенджеры с помощью процессов

  • pidgin;
  • skype;
  • msnmsgr;
  • aim;
  • icq.exe;
  • yahoom;
  • ymsg_tray.exe;
  • googletalk;
  • xfire.exe.


В момент отправки сообщений на инфицированном компьютере блокируется мышь и клавиатура. В отличие от Trojan.OneX.1, Trojan.OneX.2 умеет работать с конфигурационными файлами в кодировке Unicode.

Potdelnaya slujba Rapidshare

Среди рассылаемых троянами сообщений распространены ссылки на принадлежащие злоумышленникам поддельные сайты. Один из них имитирует оформление службы RapidShare. Пользователю предлагают скачать под видом изображения в формате JPEG zip-архив с файлом Photo14.JPG.scr.
Photo14.JPG.scr — исполняемый файл (Trojan.Packed.22289), содержащий в себе трояна BackDoor.IRC.Bot.1446. Данная троянская программа:

  • открывает злоумышленникам доступ к инфицированному компьютеру;
  • похищает конфиденциальные данные;
  • выполняет на зараженной машине различные команды, в частности, команду загрузки и установки других приложений.


Были случаи распространения с помощью троянов BackDoor.IRC.Bot самой вредоносной программы Trojan.OneX, которая способствует дальнейшему распространению BackDoor.IRC.Bot.