Семейство Trojan.OneX атакует Facebook
Компания "Доктор Веб" объявила о появлении вредоносных программ семейства Trojan.OneX, которые при заражении компьютера рассылают спам в социальной сети Facebook, а также через программы-мессенджеры. В настоящее время зафиксировано распространение двух модификаций троянца, незначительно различающихся по своим функциональным возможностям.
Trojan.OneX работает только в 32-разрядной версии ОС Windows, в 64-разрядной системе он завершает работу после загрузки с управляющего сервера текстового файла. После запуска на инфицированной машине вирус проверяет наличие своей копии в операционной системе, а затем расшифровывает из собственных ресурсов адрес удаленного сервера, с которого загружается специальный текстовый файл. Этот файл содержит несколько строк на английском языке, на которые впоследствии будут подменяться сообщения пользователя, отправляемые им в Facebook. Сообщения заменяются строчками из данного файла только в режиме чата, при этом отправка оригинального послания блокируется. Каждый час троянец загружает с удаленного сервера новый конфигурационный файл.
Троянец ищет в операционной системе запущенные процессы с именами firefox, iexplore и IEXPLORE, при обнаружении полностью встраивается в них и перехватывает функции, отвечающие за отправку сообщений.
Вскоре после появления первой модификации троянца появился образец вредоносной программы, получившей название Trojan.OneX.2. В отличие от первой версии вторая использует для отправки сообщений популярные программы-мессенджеры с помощью процессов pidgin, skype, msnmsgr, aim, icq.exe, yahoom, ymsg_tray.exe, googletalk, xfire.exe. В момент отправки сообщений на инфицированном компьютере блокируется мышь и клавиатура.
© @Astera
