Doctor Web ostrzega użytkowników przed złośliwym spamem. Maile rozsyłane są rzekomo przez Amazon.com. Spam rozprzestrzenia się od 22 października. Wysyłane komunikaty mają skłonić odbiorcę do pobrania licencji na Microsoft Windows, jednak po kliknięciu na link, użytkownik infekuje system dwoma szkodliwymi programami (Trojan.Necurs.97 i BackDoor.Andromeda.22).
Fałszywe wiadomości zatytułowane są "Order n" („Zamówienie n”) - "n" jest liczbą losową i zawierają następujący tekst:
Hello,
You can download your Microsoft Windows License here.
Microsoft Corporation
(Witaj,
Tutaj możesz pobrać licencję Microsoft Windows.
Microsoft Corporation)
Każda wiadomość ma zaszyty link do strony internetowej, zawierającej skrypt, który przekierowuje użytkownika do innej witryny. Plik JavaScript ładowany z witryny jest wykorzystywany do pobierania dwóch szkodliwych programów: BackDoor.Andromeda.2. i Trojan.Necurs.97.
Trojan.Necurs.9. jest zdolny do samodzielnej replikacji i infekuje dyski wymienne oraz zasoby sieciowe. Po uruchomieniu trojan tworzy plik .exe i dokonuje zmian w rejestrze systemu Windows. Dzięki temu plik uruchamiany jest przy starcie systemu Windows. Następnie trojan skanuje pamięć w poszukiwaniu uruchomionych programów Internet Explorer i Mozilla Firefox. Jeśli na nie natrafi, wprowadza do nich swój kod. Następnie Trojan.Necurs.97 próbuje skopiować się do wszystkich dostępnych dysków przenośnych, jako plik z losową nazwą i tworzy plik autorun.inf w katalogu głównym dysku. Zostanie on uruchomiony automatycznie za każdym razem, gdy urządzenie będzie podłączane do komputera.
Orange Ekspert: Operacja: Aplikacja - edytory zdjęć
Trojan.Necurs.9. łączy się ze zdalnymi serwerami, kontrolowanymi przez napastników. Zgłasza swoją pomyślną instalację i czeka na polecenia. Może w ten sposób pobierać różne aplikacje oraz przenosić pliki z systemu do zdalnego hosta.
