Червь маскируется под клип

Служба вирусного мониторинга компании «Доктор Веб» сообщает об обнаружении нового вируса, получившего название по классификации Dr.Web Win32.HLLW.Cicar.
Пользователь получает письмо на испанском языке с темой Video de Daniela Cicarello trazando. В сообщении пользователю предлагается пройти по указанной ссылке и скачать новый клип некой Daniela Cicarelli. Предлагаемый «клип» представляет собой файл cicarelli-17022006.mpg.exe (227840 байт) с иконкой медиапроигрывателя Windows Media Player.

Служба вирусного мониторинга компании «Доктор Веб» сообщает об обнаружении нового вируса, получившего название по классификации Dr.Web Win32.HLLW.Cicar.

Пользователь получает письмо на испанском языке с темой Video de Daniela Cicarello trazando. В сообщении пользователю предлагается пройти по указанной ссылке и скачать новый клип некой Daniela Cicarelli. Предлагаемый «клип» представляет собой файл cicarelli-17022006.mpg.exe (227840 байт) с иконкой медиапроигрывателя Windows Media Player.

Будучи запущенным неосторожным пользователем, Win32.HLLW.Cicar копирует себя в каталог C:\Windows с именем файла smss.exe и регистрирует в автозагрузке, создавая следующие ключи в системном реестре: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run «cicarelli —1702006.mpg»=C:\Windows\smss.exe. Он скачивает файл msn.jpg (807936 байт, детектируется антивирусом Dr.Web как Trojan.PWS.Banker.5094) — троян, ворующий пароли к банковским системам, и рассылает по службе MSN сообщения на испанском языке с указанием ссылки на свой «родительский» сайт.

Компания «Доктор Веб» призывает пользователей быть внимательными и не открывать ссылки в письмах, пришедших от неизвестных адресатов. В случае, если компьютер оказался поражён Win32.HLLW.Cicar, его рекомендуется отключить от локальной сети и/или интернета и проверить антивирусным сканером.

По материалам сайта itua.info