Новая маска трояна
PandaLabs сообщает о случаях заражения вирусом Agent.JEN через электронные сообщения, имитирующие рассылку компании UPS.Во вредоносном письме с темой "Посылка UPS N3621583925", маскирующемся под рассылку американской компании экспресс-доставки почты, сообщается о невозможности доставки почтовой посылки, а также предлагается распечатать прикрепленный счет.
Так называемый счет представляет собой прикрепленный zip-файл, который содержит вложение вида Microsoft Word, после открытия которого запускается механизм заражения машины пользователя.
Вредоносный код копирует себя в систему, подменяя собой файл Userinit.exe в операционной системе Windows. Этот файл запускает Internet Explorer, системный интерфейс и другие необходимые процессы. Для дальнейшей корректной работы компьютера и во избежание обнаружения инфекции троян копирует системный файл под именем userini.exe в другую папку.
Agent.JEN подключается к русскому домену, который используется другими банковскими троянами, и с его помощью посылает на немецкий домен запрос на загрузку руткита и рекламного ПО.
© @Astera
