Компания «Доктор Веб» сообщила о массовой рассылке спам-сообщений с приложенным к ним трояном Trojan.Botnetlog.11. Эта программа, формируя новую бот-сеть, способствует последующему заражению компьютеров вредоносным ПО.

Рассылки Trojan.Botnetlog.11 (в виде приложенного к письму файла) начались 6 августа; сейчас наблюдается пик активности данной угрозы.

Пользователю приходит письмо якобы от известного почтового сервиса, в котором сообщается, что отправленный пользователем по почте груз не может быть доставлен в связи с неправильно указанным адресом. Для решения проблемы предлагается распечатать прилагаемую «квитанцию» и отослать его в отделение почтового сервиса.

К письму приложен zip-архив со случайным именем UPSNR_********.zip, который содержит исполняемый файл c именем, совпадающим с названием архива. Данный файл представляет собой вредоносную программу Trojan.Botnetlog.11. Выявление этой угрозы антивирусами осложняется тем, что в каждой новой рассылке исполняемый файл видоизменяется.

После запуска троянская программа прописывает себя в автозагрузку. В дальнейшем Trojan.Botnetlog.11 встраивается в работу системных процессов, после чего соединяется по протоколу HTTP со специально созданным вредоносным сайтом для загрузки и запуска других вредоносных программ. Таким образом, происходит регистрация бота – добавление зараженного компьютера в новую бот-сеть.

Так как Trojan.Botnetlog.11 постоянно видоизменяется, Dr.Web рекомендует всем пользователям антивирусных программ использовать автоматическое обновление вирусных баз и компонентов антивируса.