Появился новый троянец связанный с выборами в России, в спам-рассылках: Trojan.KillFiles.9055 Опции

[Tyan Tiger]

Под видом инструкции для митингующих рассылается опасный вирус

«Доктор Веб» предупредил об эпидемии трояна, стирающего файлы с жесткого диска

Производитель антивирусных программ «Доктор Веб» предупредил о начавшейся эпидемии компьютерного вируса, запускающего троянскую программу Trojan.KillFiles.9055, уничтожающую данные на компьютере.

Для рассылки используется протестная терминология: письмо содержит призыв прийти на митинг на Пушкинской площади и действовать строго по инструкции, файл с которой приложен к письму. Пользователь, скачавший на свой компьютер «инструкцию», вместо инструкции получает вирус. Вложенный в e-mail документ Microsoft Word на самом деле содержит макрос, запускающий троянскую программу Trojan.KillFiles.9055, способную привести в нерабочее состояние или просто «убить» операционную систему Windows и стереть часть содержимого компьютера.

Почтовые сообщения с темой «Митинг «Честные выборы» или «Все на митинг» содержат короткий текст, например: «Внимательно изучи инструкцию, что необходимо будет делать на этом митинге», «Митинг против Путина. Внимательно прочитай инструкцию» или «Очень важно, чтобы ты изучил инструкции, на этом митинге все будут действовать по этому сценарию» и вложенный файл, представляющий собой документ Microsoft Word с именем: Инструкция_митинг.doc.

Данный документ включает в себя несколько макросов, которые в момент открытия файла в текстовом редакторе сохраняют на диск и запускают на исполнение троянскую программу Trojan.KillFiles.9055, предназначенную для выведения из строя инфицированной системы Windows, комментирует руководитель пресс-службы «Доктор Веб» Кирилл Леонов.

Запустившись на компьютере жертвы, троянец Trojan.KillFiles.9055 копирует себя во временную папку, прописывается в ветви системного реестра, отвечающей за автоматический запуск приложений, затем повышает приоритет своего процесса и «оттягивает» все свободные ресурсы Windows для выполнения задачи по удалению всех файлов с жесткого диска. Все это вызывает зависание ОС Windows. Одновременно троянец меняет содержимое всех обнаруженных на диске С:/ файлов с расширением .msc .exe .doc .xls .rar .zip .7z на «цифровой мусор» и помечает их на удаление после перезагрузки системы, вследствие чего Windows приходит в нерабочее состояние. Затем троянец отправляет на удаленный сервер злоумышленников сообщение о том, что операционная система успешно «убита».

Специалисты компании «Доктор Веб» рекомендуют пользователям не открывать вложения в письма, полученные от неизвестных отправителей, по возможности не отключать в Word встроенную систему безопасности, блокирующую выполнение макросов, а также поддерживать базы антивирусного ПО в актуальном состоянии.

Источник http://izvestia.ru/news/517558
Еще один http://news.drweb.com/show/?i=2272&lng=ru&c=14

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

1) UserName "Навалимся вместе"
Subj "Приходи на митинг"
Message "Инструкция твоих действий на митинге против Путина."

2) UserName "Вместе вдарим"
Subj "Приходи на митинг"
Message "Митинг против Путина. Внимательно прочитай инструкцию."

3) UserName "Навалимся вместе "
Subj "Инструкция — что необходимо делать на митинге"
Message "Очень важно чтобы ты изучил инструкции, на этом митинге все будут действовать по этому сценарию."

4) UserName "Вместе мы сила"
Subj "Все на митинг"
Message "Очень важно чтобы ты изучил инструкции, на этом митинге все будут действовать по этому сценарию."

5) UserName "Навалимся вместе"
Subj "Митинг "Честные выборы""
Message "Внимательно изучи инструкцию что необходимо будет делать на этом митинге."

Внутри письма — вложенный файл Microsoft Word c именем Инструкция_митинг.doc. При открытии файла на диск сохраняется и запускается троянец Trojan.KillFiles.9055. Запустившись на компьютере жертвы, троянец Trojan.KillFiles.9055 прописывает себя в ветвь системного реестра SOFTWARE\Microsoft\Windows\CurrentVersio n\Run\, отвечающую за автоматический запуск приложений, копирует себя во временную папку, затем повышает свои привилегии в операционной системе и оттягивает все свободные ресурсы Windows для выполнения собственных процессов, вызывая зависание ОС. Одновременно троянец меняет содержимое всех обнаруженных на диске С: файлов с расширением.msc.exe.doc.xls.rar.zip.7z на «цифровой мусор» и помечает их на удаление после перезагрузки системы, в следствие чего Windows приходит в неработоспособное состояние. Затем троянец отправляет на удаленный сервер злоумышленников сообщение о том, что операционная система успешно «убита».

На текущий момент уже зафиксировано большое количество обращений в службу техподдержки от пользователей, у которых слетела винда. Будьте осторожны!

Инсайде несколько картинок (МИР!).
Вот так выглядит вложенный в письмо файл, если в Word у пользователя отключена обработка макросов. Заражения в этом случае не происходит.


А вот так — если макросы включены.

Сообщение отредактировал satakiev - Mar 5 2012, 16:44

[Некто]

http://vms.drweb.com/search/?q=Trojan.KillFiles.9055

Dr.Web virus library

No document matches your request.

[Narada]

http://vms.drweb.com/search/?q=Trojan.KillFiles.9055

Dr.Web virus library

No document matches your request.

http://vms.drweb.com/search/?q=Trojan.KillFiles

[6oJIBaH]

По-моему , отличный способ заставить хомоюзеров перевалить винду .

[Некто]

http://vms.drweb.com/search/?q=Trojan.KillFiles

Там сказано про конкретный вид.

[Der-niht]

а в следующем письме приходит ссылка на дистрибутив Linux и призыв голосовать за коммунистов))))
а если по теме: то насколько народ должен быть злым на власть, что бы попадать на старый дедовский метод рассылки вирусни

Сообщение отредактировал Der-niht - Mar 5 2012, 17:55

[olex@]

Сиди вдома, дивись ОРТ. Нє хрєн по мітингам шастать

[AWEA]

Про пользователей Mac и Linux вбросить сейчас или потом?)))!)

Сообщение отредактировал AWEA - Mar 5 2012, 17:57

[busted]

Ну дык правильно - нечего митинговать !! Не удивлюсь, что не вирус просто использует проверенный способ, а кое-кто использует вирус.. в назидание митингующим )))

Сообщение отредактировал busted - Mar 5 2012, 20:41