Схема распространения последних версий Gpcode

В ходе проведенного специалистами «Лаборатории Касперского» расследования удалось установить источник распространения «вируса-шантажиста» Gpcode, вызвавшего в последние дни эпидемию в российском сегменте интернета.

Согласно полученной нами информации, схема распространения вируса была следующей:

1. Изначально была использована спам-рассылка.Первая волна рассылки была проведена 26 мая 2006 года. На несколько тысяч адресов электронной почты российских пользователей было послано письмо следующего содержания:
   Здравствуйте, <имя получателя>!Беспокою Вас относительно Вашего резюме опубликованного на сайте job.ru. У меня есть вакансия, полностью подходящая под Ваше резюме. Фирма ADC Marketing LTD (UK) открывает представительство в Москве и я по поручению руководства решаю соответствующий кадровый вопрос. В ближайшее время я буду готов пригласить Вас на собеседование в любое удобное для Вас время.
   Если Вас интерисует мое предложение заполните несложную анкетку, относящуюся к зарплате, связанную с моей вакансией.
   Результат анкетирования вышлите на мой е-mail.
   Заранее благодарю.

   С уважением, Павлов Виктор, HR-менеджер.

   К письму прилагался документ MS Word с именем anketa.doc. На самом деле этот файл представлял собой троянскую программу Trojan-Dropper.MSWord.Tored.a.

2. При открытии документа, в нем срабатывал вредоносный макрос, который устанавливал в систему другую троянскую программу — Trojan-Downloader.Win32.Small.crb.
3. Именно этот троянец и осуществлял загрузку в систему самого Gpcode.Загрузка осуществлялась с адреса [skip].msk.ru/services.txt.

Автор Gpcode осуществлял подобные спам-рассылки в течение нескольких последующих дней. Также им регулярно менялась версия вируса, размещенная по ссылке для загрузки троянцем.

В настоящее время «Лаборатория Касперского» предпринимает усилия по закрытию вредоносного сайта.