Email-Worm.Win32.Lover.a – нетипичный кейлоггер
Лаборатории Касперского удалось обнаружить оригинальный кейлоггер, способный эффективно организовать скрытое присутствие в системе. Выявленный червь распространяется по электронной почте в файле to_my_love.scr. Его запуск ведет к появлению некого подобия скринсейвера "Геометрический вальс", что призвано отвлечь внимание пользователя. На зараженном компьютере кейлоггер производит запись нажатых клавиш при работе с браузерами, почтовыми и IM-клиентами (Opera, Firefox, Internet Explorer, The Bat!, MSN Messenger, ICQ, QIP и другими).
Для своего сокрытия червь разделяет исполнительный код на части, чтобы не дать себя обнаружить. Запуск зараженного приложения ведет к процессу "склеивания" червя и записи зафиксированной информации о работе в папку Windows с именем ia*.cfg. Далее файл с данными отсылается на FTP-сервер rdtsc.***.com. Имеющая место маскировка отмечена Лабораторией Касперского как нетипичная для такого вида угроз, а обнаруженная в коде лексика позволила специалистам компании предположить, что автор кейлоггера является русскоговорящим. Сигнатура для обнаружения Email-Worm.Win32.Lover.a уже добавлена в базы Лаборатории Касперского.
© TechLabs