TSPY_SPCESEND.A - троян похищающий MS Word и Excel документы


TSPY_SPCESEND.A - троян, ищущий на жёстком диске инфицированной системы файлы MS Word и Excel и действующий по принципу "нашёл и смылся".

Полученные документы помещаются в папку с временными файлами пользователя в виде запароленного архива. После чего данный архив автоматически загружается на файлообменник Sendspace.com - файловый хостинг, позволяющий посылать, получать, отслеживать и раздавать объёмные файлы.


В последнее время сервис Sendspace уже использовался для хранения украденных злоумышленниками данных, однако они загружались туда вручную, а не самими вредоносами. Обнаруженный специалистами Trend Micro случай стал первым, когда эта задача автоматизирована.

Заражение компьютера начинается с загрузки вирусного файла

  • Fedex_Invoice.exe

содержащего троян

  • TROJ_DOFOIL.GE


Название файла указывает на то, что его используют для рассылки мошеннических спам-сообщений, в частности, уведомлений об отправке компании FedEx.

Будучи запущенным

  • TROJ_DOFOIL.GE

загружает и устанавливает

  • TSPY_SPCESEND.A


Пример архива:

Inficirovannii arhiv

Созданный архив, троян TSPY_SPCESEND.A отсылает на Sendspace.com:

Otpravka arhiva na Sendspase

После загрузки вирус получает ссылку на скачивание на Sendspace, отсылает её и пароль к архиву на командный сервер:

Ssilka i pass na skachivanie

Скриншот страницы Sendspace, которая ведёт к архиву собранных документов:

Stranica Sendspase

Использование публичных файлообмеников — остроумный шаг со стороны кибермошенников, поскольку в данном случае отпадает необходимость использования серверов, на которых хранятся большие по объёму данные. Такой метод хранения украденных данных может стать весьма популярным у компьютерных злоумышленников.