В почтовой рассылке распространяется Trojan.PWS.UFR.3010


Hit WebСпециалистами компании "Доктор Веб" была зафиксирована массовая почтовая рассылка, с помощью которой распространяется вредоносная программа Trojan.PWS.UFR.3010, предназначенная для кражи паролей от многих прикладных программ.

26–27 декабря 2012 года пользователи Интернета стали получать электронные письма об оплате некоего счета, содержащие вложенный ZIP-архив. В тексте сообщений, как правило, предлагается проверить банковские реквизиты платежного поручения.

Пример спамерского электронного письма

Oplata scheta NEFT RUSSIA

Настораживают имя архива

  • [FILENAME].JPG.zip

и ошибки в тексте письма. Внутри архива располагается исполняемый файл с расширением .exe, которое отделено от имени большим количеством точек с целью скрыть его в окне Проводника. Подобный способ "спрятать" истинное расширение файла применяется злоумышленниками на протяжении многих лет и считается весьма тривиальным. Однако предшественники вместо точек использовали большое количество пробелов, поэтому пользователям Проводника Windows становилось весьма непросто определить истинный тип файла. Распространители трояна не потрудились даже заменить значок приложения на что-то нейтральное.

ZAO NEFT RUSSIA

Вредоносная программа,  детектируемая Trojan.PWS.UFR.3010 (по Dr.Web), создана с помощью широко известного конструктора утилит для кражи паролей UFR Stealer, свободно распространяемого на хакерских форумах как минимум с 2010 года. Воспользоваться этой программой может любой подросток, не обладающий даже минимальными знаниями в области программирования. Полученное с помощью конструктора вредоносное приложение способно красть пароли от:

  • большинства популярных браузеров;
  • почтовых клиентов;
  • FTP-клиентов;
  • программ мгновенного обмена сообщениями;
  • других приложений,

а также отправлять данные с использованием протокола FTP на удаленный сервер или по электронной почте.

Список подверженных риску программ

UFR Stealer

Анализ FTP-сервера злоумышленников показал, что в общей сложности заражению подверглось как минимум несколько сотен компьютеров, а за последние сутки — не менее 120 ПК.


Обновлено (13.01.2013 03:02)