"Доктор Веб" предупреждает об опасном вирусе

    (0) Служба вирусного мониторинга компании Доктор Веб сообщила о распространении по сети мгновенных сообщений (ICQ) новой модификации троянской программы, получившей по классификации компании "Доктор Веб" название Trojan.PWS.LDPinch.1061. Получаемое пользователем сообщение содержит приглашение посмотреть "прикольную флэшку" и ссылку, по которой эта "флэшка" находится. Скачиваемый файл (oPreved.exe) действительно имеет значок флеш-ролика, но на самом деле - это троянец, перехватывающий пароли.

Техническая информация о троянце:

После запуска oPreved.exe (354 304 байта. Детектируется антивирусом Dr.Web как Trojan.PWS.LDPinch.1061) создаются файлы:
%System%Expllorer.exe (223 392 байта. Детектируется антивирусом Dr.Web как Win32.HLLW.MyBot)
%windir%tempxer.exe (223 392 байта. Детектируется антивирусом Dr.Web как Win32.HLLW.MyBot) временный файл C:a.bat

Файл Expllorer.exe прописывается в автозагрузку, создавая следующие ключи в системном реестре:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun "Shel"=Expllorer.exe

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices "Shel"=Expllorer.exe

Передача паролей происходит через скрипт на сайте 220web.ru. Передаются все собранные пароли в системе: icq, ftp, почтовые сервисы, dialup, trilian, miranda и т.д.

Также Trojan.PWS.LDPinch пытается обойти межсетевые экраны: как встроенный в операционную систему, так и некоторых сторонних разработчиков.

Специалисты призывает пользователей быть внимательными и не открывать ссылки, пришедшие в сообщениях ICQ от неизвестных адресатов. В случае, если Ваш компьютер поражён трояном Trojan.PWS.LDPinch, рекомендуется отключить компьютер от локальной сети и/или Интернета, проверить его антивирусным сканером Dr.Web.

Также антивирусные аналитики рекомендуют в обязательном порядке сменить все пароли, хранящиеся на компьютере.