Форум АНТИЧАТ - Троян Conycspa.AJ: 9 вирусов в «подарок»

На этой неделе в традиционном отчете PandaLabs рассматриваются: опасный троян Conycspa.AJ, который загружает на компьютеры 9 вредоносных кодов; черви MSNPhoto.A и Ridnu.D.

Троян Conycspa.AJ предназначен для демонстрации рекламы, для чего он изменяет несколько записей реестра Windows и модифицирует результаты онлайновых поисков пользователя. За счет этого троян перенаправляет пользователей на определенные веб-страницы, в основном имеющие отношение к медицине.

Этот троян подключается к определенному веб-адресу, с которого загружает различные файлы.: например, mm4839.exe, предназначенный для рассылки с ПК спама о лекарствах.

Кроме того, троян загружает из интернета большое количество зараженных файлов, содержащих: рекламный код MalwareAlarm, потенциально нежелательные программы DriveCleaner, WinAntivirus2006 и PsKill.J, троянов Stox.A и Cimuz.EI, а также cookie DriveCleaner и MediaPlex.

Conycspa.AJ также вносит изменения в реестр Windows, одно из которых обеспечивает трояну запуск при каждой загрузке компьютера. Более того, он создает BHO (объект поддержки браузера - Browser Helper Object), позволяющий ему вести учет интернет-активности пользователя.

Помимо всего, опасный троян вносит изменения в папку восстановления файлов за счет создания собственной папки - таким образом он защищает созданные им изменения и предотвращает их удаление операционной системой.

MSNPhoto.A – это червь, распространяющийся через MSN Messenger. Этот вредоносный код попадает в компьютер в виде иконки или изображения, на самом деле скрывающего исполняемый .exe-файл.

При запуске MSNPhoto.A закрывает все открытые пользователем окна MSN Messenger и рассылает по всем контактам сообщение с предложением открыть файл под названием fotos_posse.zip, который на самом деле является копией червя.

Этот червь также блокирует открытие диспетчера задач, за счет чего предотвращает закрытие MSN Messenger самим пользователем. Также он старается загрузить из интернета несколько файлов. Кроме того, он редактирует реестр Windows, чтобы обеспечить себе загрузку при каждом запуске системы.

Вторым червем в отчете рассматривается Ridnu.D. Этот вредоносный код, как и все остальные варианты семейства Ridnu, занимается демонстрацией надоедливых сообщений. Он, например, заменяет «Пуск» на «Mr_CoolFace Has Come!». Также он изменяет название «Мои документы» на «Mr_CoolFace», а при каждом открытии «Блокнота» пользователь видит надпись «Dear my princess».

Одним из вредоносных действий Ridnu.D является создание нескольких записей в реестре Windows с целью изменения аспекта панели задач Windows Explorer и обеспечения своего запуска при каждой загрузке компьютера.