Для распространения

Специалистам «Лаборатории Касперского» удалось установить источник распространения «вируса-шантажиста» Gpcode, вызвавшего в последние дни эпидемию в российском сегменте Интернета. Как выяснилось, для распространения вируса злоумышленники использовали спам-рассылки.

По данным «Лаборатории Касперского», первая волна рассылок была проведена 26 мая 2006 года. На несколько тысяч адресов электронной почты российских пользователей было разослано письмо следующего содержания:

К письму прилагался документ MS Word с именем anketa.doc. На самом деле этот файл представлял собой троянскую программу Trojan-Dropper.MSWord.Tored.a.

При открытии документа, в нем срабатывал вредоносный макрос, который устанавливал в систему другую троянскую программу — Trojan-Downloader.Win32.Small.crb, — которая осуществляла загрузку в систему самого Gpcode с адреса [skip].msk.ru/services.txt.

После попадания в систему вирус шифровал файлы, в частности, с расширениями .doc, .xls, .txt, .zip с помощью алгоритма RSA. Во всех папках, где находились зашифрованные файлы, появлялись файлы Readme.txt, в которых пострадавшим предлагалось купить алгоритм дешифровки у злоумышленника, предварительно связавшись с ним по указанному в тексте адресу.

Подобные спам-рассылки повторялись в течение нескольких последующих дней, при этом регулярно менялась версия вируса, размещенная по ссылке для загрузки троянцем.

В настоящее время «Лаборатории Касперского» совместно с компанией-хостером удалось удалить файл вируса с сайта, с которого он загружался на компьютеры пользователей.

Источник: «Лаборатория Касперского»