Wirus w raporcie McAfee

Analitycy z Kaspersky Lab przechwycili mailing wiadomości zawierających trojana Trojan-Dropper.MSWord.Lafool.v. Mailing ten posiada jedną bardzo niepokojącą cechę: wiadomości wyglądają na wysłane z adresu [email protected], zatem ich rzekomym nadawcą jest firma McAfee, producent oprogramowania antywirusowego.

Lafool.v ma postać dokumentu programu MS Word o nazwie "McAfee Inc. Reports.doc". Plik zawiera rzekomo raport dotyczący rozprzestrzeniania się szkodliwych programów w Internecie. W rzeczywistości dokument zawiera makro napisane przy użyciu języka programowania Visual Basic for Applications. Lafool.v wypakowuje ze swojego kodu i uruchamia najnowszą modyfikację znanego trojana kradnącego hasła - LdPinch. LdPinch kradnie hasła związane z wieloma usługami i aplikacjami, łącznie z komunikatorami AOL i ICQ oraz inne poufne dane użytkowników zainfekowanych komputerów. Oprogramowanie Kaspersky Anti-Virus wykrywa tę nową wersję jako Trojan-PSW.Win32.LdPinch.bbg.

Trojan-Dropper.MSWord.Lafool.v

Jest to trojan instalujący inne szkodliwe programy bez wiedzy i zgody użytkownika zainfekowanego komputera. Ma postać dokumentu programu MS Word zawierającego makro. Rozmiar zainfekowanego dokumentu to 205 825 bajtów.

Funkcje trojana aktywowane są wraz z każdym uruchomieniem programu MS Word (makro AutoExec) oraz podczas otwierania dokumentów DOC (makra AutoOpen oraz Document_Open). Trojan wypakowuje ze swojego kodu plik o rozmiarze 27 648 bajtów, zapisuje go na dysku i uruchamia: C:\LS060E5.eXE

Usuwanie szkodnika z zainfekowanego systemu

W celu usunięcia szkodnika z zainfekowanego systemu należy wykonać następujące czynności:

1.Usunąć z dysku plik C:\LS060E5.eXE
2.Zamknąć wszystkie aplikacje pakietu MS Office
3.Uaktualnić sygnatury zagrożeń i wykonać pełne skanowanie antywirusowe całego komputera.

Źródło: Kaspersky