Эксперты российской антивирусной компании "Доктор Веб" на своём сайте и в сообщениях для СМИ рассказали о появлении в Сети вредоносных программ семейства Trojan.OneX. Заразив ПК пользователя, этот троянец начинает рассылать спам в соцсети Facebook. Эксперты "Доктор Веб" выявили две модификации этого трояна, которые незначительно различаются по своему функционалу.

В "Доктор Веб" считают, что при такой модели распространения количество жертв злоумышленников может оказаться весьма большим. Trojan.OneX первой версии работает только в 32-разрядной версии Windows. Запустившись на инфицированной машине, Trojan.OneX.1 проверяет наличие своей копии в операционной системе, а затем расшифровывает из собственных ресурсов адрес удаленного сервера, с которого подгружается специальный текстовый файл. Этот файл содержит несколько строк на английском языке вида "hahaha! http://goo.gl[…].jpeg" - именно на них в дальнейшем будут подменяться сообщения пользователя в социальной сети Facebook.

Сообщения заменяются строчками из данного файла только в режиме чата, при этом отправка оригинального послания блокируется. Каждый час троян загружает с удаленного сервера новый конфигурационный файл. Trojan.OneX.1 ищет в операционной системе запущенные процессы с именами firefox, iexplore и IEXPLORE, при обнаружении полностью встраивается в них и перехватывает функции, отвечающие за отправку сообщений.

Что касается вредоносной программы, названной Trojan.OneX.2, то она использует для отправки сообщений популярные мессенджеры, перехватывая процессы pidgin, skype, msnmsgr, aim, icq.exe, yahoom, ymsg_tray.exe, googletalk, xfire.exe. В момент отправки сообщений на инфицированном ПК блокируются мышь и клавиатура.

Сообщения, которые рассылают эти два трояна, содержат ссылки на принадлежащие злоумышленникам поддельные сайты. Например, имитирующие службу RapidShare. Пользователю предлагают под видом изображения в формате JPEG скачать zip-архив, содержащий Photo14.JPG.scr - исполняемый файл (Trojan.Packed.22289), содержащий в себе трояна BackDoor.IRC.Bot.1446. Эта троянская программа открывает хакерам доступ к инфицированному ПК, может красть конфиденциальные данные и позволяет выполнять на зараженной машине различные команды - например, загружать и устанавливать приложения.

Виктор ДЕМИДОВ