Для злоумышленников массовые почтовые рассылки – один из излюбленных методов распространения вредоносного ПО. 26 и 27 июня 2014 г. специалисты компании “Доктор Веб” выявили факт распространения по электронной почте большого числа сообщений, содержащих опасную троянскую программу. Эти письма были отправлены якобы от имени широко известной интернет-компании Amazon.
Начиная с 26 июня многие пользователи Интернета стали регулярно получать по электронной почте сообщения якобы от имени интернет-портала Amazon c информацией о поступившем заказе. В письме пользователю предлагается ознакомиться с детализацией покупки и счетом-фактурой. Сообщение написано на английском языке, и его текст одинаков во всех известных на сегодняшний день случаях, различаются только дата и номер заказа:
К письму приложен ZIP-архив, в котором содержится исполняемый файл вредоносной программы BackDoor.Tishop.122, – сами вирусописатели называют эту программу Smoke Loader. Назначение данного троянца заключается в загрузке на инфицированный компьютер других вредоносных приложений, благодаря чему незащищенная антивирусной программой система может превратиться в настоящий заповедник для различных угроз. После своего запуска BackDoor.Tishop.122 выполняет проверку окружения на наличие “песочницы” или виртуальной машины, создает свою копию в одной из папок на диске компьютера, регистрирует себя в отвечающей за автозагрузку ветви реестра Windows и встраивается в ряд системных процессов. При наличии подключения к Интернету троянец пытается загрузить на инфицированную машину другие вредоносные программы, после чего запускает их. (Dr.Web/NovostIT)