На днях пользователи Интернета стали получать электронные письма, отправителем которых обозначена UPS, известная почтовая служба. «Подметное» письмо содержит как обращение к данному адресату, так и сообщение о проблемах с доставкой почтового отправления. Мошенники коварно предлагают получателю правильно заполнить вложенный документ, еще раз указав точный адрес доставки. «Вложение» содержит zip-архив, внутрь которого спрятан опасный исполняемый файл с ложным значком обычного документа Microsoft Word.
По информации антивирусной фирмы Dr. Web, начав активную работу на компьютере обманутого пользователя, Trojan.Inject1.4969 сразу копирует себя в папку Application Data учетной записи владельца Windows, удаляя исходник и прописывая себя в нужную ветвь системного реестра. Потом троянец запускает штатный explorer.exe, оперативно встраивает в него свой код, а затем пытается быстро встроиться в работающие процессы инфицированной операционной системы. Внедрив поддельный код или в explorer.exe, или в firefox.exe, троянская программа тут же соединяется со всеми управляющими серверами, их адреса были ранее прописаны в ее коде. Свои запросы вредоносная программа шифрует при помощи обычных функций CryptoAPI.
That kind of thinking shows you're an expert.