PandaLabs: новый iPhone-троян
Aiphone.A – это троян, который пользуется появлением iPhone для кражи банковских данных пользователей, сообщается в недельном отчете PandaLabs.Для этих целей Aiphone.A устанавливается на компьютер под видом BHO (объект консультативной поддержки браузера - Browser Helper Object). Когда зараженный пользователь пытается посетить официальную страницу iPhone, троян перенаправляет его на поддельную веб-страницу. Для покупки телефона пользователю придется ввести свои банковские данные, которые напрямую попадают в руки создателя вредоносного ПО.
Троян попадает в компьютеры в виде вложения в электронное сообщение или как часть интернет-загрузки.
В отчете также говорится о Hairy.A – черве, который вносит изменения в систему, при этом отключает важные приложения безопасности, такие, как брандмауэр Windows, инструменты управления реестром и утилиты для восстановления системы.
В определенное время и при запуске системы этот червь выбрасывает раздражающие сообщения. Одно из таких сообщений, появляющееся в текстовом документе при запуске трояна, гласит: «Гарри Поттер мертв». Кроме того, при каждой загрузке системы червь демонстрирует сообщение в окне MS-DOS с оскорблениями в адрес создавшей Гарри Поттера Джоанны Роулинг.
После перезагрузки в системе появляются три новых «пользователя», которые носят имена главных героев книг о Гарри Поттере.
Hairy.A создает в системе свою копию под названием HarryPotter-TheDeathlyHallows.exe, которая время от времени самопроизвольно запускается, чтобы вновь заразить компьютер. Червь распространяется путем создания своих копий на любых носителях, название которых находится между буквами C: и J:. В случае подключения к компьютеру съемного носителя, червь немедленно запускается и заражает его.
Следующим в отчете рассматривается PornWorm.A – червь, который для своего распространения использует порнографию. Этот червь копирует себя в директории, принадлежащие приложениям для совместного использования ресурсов, под различными эротическими названиями и с расширением jpg.rar.
Сразу же после разархивации, копии приобретают такие названия, как Gratis_Sex.exe или Free _Porno_ Access.
При этом PornWorm.A создает запись в реестре Windows, чтобы запускаться при каждой загрузке системы. Кроме того, он создает в системе несколько своих копий и подключается к определенному URL, чтобы загрузить на компьютер другие вредоносные программы.
© CNews
