Доктор Веб предупреждает о новом опасном трояне oPreved.exe

Служба вирусного мониторинга компании «Доктор Веб» сообщает о распространении по сети мгновенных сообщений (ICQ)новой модификации троянской программы, получившей по классификации компании «Доктор Веб»

название Trojan.PWS.LDPinch.1061.

Получаемое пользователем сообщение содержит приглашение посмотреть «прикольную флэшку» и ссылку, по которой эта «флэшка» находится. Скачиваемый файл (oPreved.exe) действительно имеет значок флеш-ролика, но на самом деле — это троянец, перехватывающий пароли.

После запуска oPreved.exe (354 304 байта. Детектируется антивирусом Dr.Web как Trojan.PWS.LDPinch.1061) создаются файлы: %System%Expllorer.exe (223 392 байта, детектируется антивирусом Dr.Web как Win32.HLLW.MyBot), %windir%tempxer.exe (223 392 байта, детектируется антивирусом Dr.Web как Win32.HLLW.MyBot), временный файл C:a.bat.

Файл Expllorer.exe прописывается в автозагрузку, создавая следующие ключи в системном реестре: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun «Shel»=Expllorer.exe

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices «Shel»=Expllorer.exe.

Передача паролей происходит через скрипт на сайте hxxp://220web.ru.

Передаются все собранные пароли в системе: icq, ftp, почтовые сервисы, dialup, trilian, miranda и т.д.

Также Trojan.PWS.LDPinch пытается обойти межсетевые экраны: как встроенный в операционную систему, так и некоторых сторонних разработчиков.