По окончании голосования россиян компания "Доктор Веб" зафиксировала спам-рассылку, нацеленную на распространение опасного Win-троянца под видом инструкции для участника московской акции протеста, которая состоялась вечером 5 марта на Пушкинской площади.
По свидетельству экспертов, вредоносные письма с заявленной темой 'Митинг Честные выборы' или 'Все на митинг' содержат короткий призыв изучить некую инструкцию со сценарием этого
мероприятия. Непрошеные агитки снабжены doc-вложением; этот документ содержит несколько макросов, которые при его открытии сохраняют на диск и запускают троянскую программу. В "Доктор Веб" ее детектируют как Trojan.KillFiles.9055.
После запуска данный зловред копирует себя во временную папку, прописывается на автозапуск в системном реестре и заменяет содержимое всех обнаруженных на диске С файлов (.msc, .exe .doc, .xls, .rar, .zip, .7z) 'цифровым мусором', помечая их на удаление при перезагрузке. В итоге операционная система приходит в нерабочее состояние или начисто "умирает", а троянец отправляет на сервер злоумышленников сообщение об успехе. По
словам главного антивирусного эксперта ЛК Александра Гостева, этот сервер расположен на
территории Великобритании. На этом же адресе находятся два свежих сайта, зарегистрированных в зоне .ru через "Наунет" .
Гостев также отмечает, что объем зловредной спам-рассылки измеряется миллионами. В настоящее время ЛК пытается установить, какие ботнеты принимали в ней участие. В качестве мер предосторожности эксперты рекомендуют не открывать вложения в письма, полученные от неизвестных отправителей, не включать в Microsoft Word функцию исполнения макросов, которая по умолчанию запрещена, а также поддерживать антивирус в актуальном
состоянии.
Источник: news.drweb.com