Трояны-загрузчики с расширением .scr

Большинство вредоносных файлов, распространяемых в почтовом спаме, являются исполняемыми и имеют расширение .exe. Но есть интересные исключения: в июле мы обнаружили несколько поддельных уведомлений от имени различных компаний, содержащих вредоносные файлы с расширением .scr. Обычно к файлам с таким расширением относятся экранные заставки и скринсейверы Windows.

В поддельном письме от имени британского банка Natwest получателя просят заполнить банковскую форму для предоставления получателю кредитной линии. На самом деле, в  прикрепленном к письму архиве находился файл  BanklineForm.scr, который детектируется «Лабораторией Касперского» как Trojan.Win32.Bublik. Зловреды этого семейства используются для скачивания и запуска различных вредоносных программ. В данном случае зловред закачивал банковского троянца Trojan-Spy.Win32.Zbot.sjzi, который передавал своим злоумышленникам финансовую информацию с зараженного компьютера. Для усыпления бдительности потенциальной жертвы злоумышленники использовали ссылки на настоящий сайт банка, а в начале сообщения упоминали, что письмо было проверено и не содержит никаких угроз.

Имя еще одной британской компании Virgin Media, предоставляющей услуги на рынке кабельной и мобильной телефонии, телевидения и широкополосного доступа в интернет, также использовалось злоумышленниками в преступных целях – распространения зараженного SCR-файла. На этот раз получателя пытались убедить в том, что совершенный им платеж не обработан,  и теперь для предотвращения остановки обслуживания необходимо обновить платежную информацию, заполнив прикрепленную к письму форму. В заархивированный файл с расширением .scr злоумышленники поместили троянскую программу семейства Trojan-Downloader.Win32.Discpy, которая, как и Bublik, предназначена для скачивания и запуска других вредоносных программ.

Использование файлов с расширением .scr вместо .exe, скорее всего, связано с тем, что последние часто встречаются в спам-сообщениях. Пользователи уже знают, что в большинстве случаев за вложенными EXE-файлами скрывается вредоносное ПО. В то же время файлы с расширением .scr встречаются в почте значительно реже и не вызывают подозрения у получателей. Мы не рекомендуем открывать вложенные в спам-письма файлы независимо от их расширения. Или, по крайней мере, стоит проверить присланный файл антивирусом, дабы не стать жертвой преступников.