Троянцев угрожает пользователям Facebook.

Компания «Доктор Веб» распространила предостережение о появлении вредном Trojan.OneX, который при заражении компьютера или ноутбука рассылают спам в социальной сети Facebook, в том числе и через программы-мессенджеры.

«В настоящее время зарегистрировано распространение двух модификаций этого троянца, мало различающихся по своим функциональным возможностям — фиксируют антивирусные эксперты и число жертв злоумышленников при такой модели распространения быть может сильно велико».

Trojan.OneX работает только для 32-разрядной версии Виндоус, в 64-разрядной ОС он заканчивает работу вслед за  загрузкой с сервера текстового файла. Вслед за запуском на инфицированной машине Trojan.OneX.1 проверяет присутствие родной копии в операционной системе, а затем расшифровывает из личных ресурсов адрес удаленного сервера, с которого загружается специальный текстовый файл. Тем самым файл содержит несколько непонятных строк на английском языке вида «hahaha!, на которые в дальнейшем будут подменяться сообщения пользователя ПК, отсылаемые в соц-сеть Facebook. Сообщения замещаются строчками из данного файла только в режиме чата, при этом отправка оригинального письма блокируется. Каждый час троян загружает с удаленного сервера новый конфигурационный файл.

В свою очередь другой зловред, Trojan.OneX.1, ищет в операционной системе запущенные процессы с именами firefox, iexplore и IEXPLORE, при обнаружении полностью встраивается в них и перехватывает функции, отвечающие за отправку сообщений.

Вскоре следом появления первоначальноой модификации троянца в распоряжении вирусных аналитиков компании «Доктор Веб» явился образец вредоносной программы, принявшей название Trojan.OneX.2. В различие от первой версии троянца вторая модификация Trojan.OneX применяется для отправки сообщений знаменитые программы-мессенджеры с помощью процессов pidgin, skype, msnmsgr, aim, icq.exe, yahoom, ymsg_tray.exe, googletalk, xfire.exe. В момент отправки сообщений на заражающем компьютере блокируется мышь и клавиатура. В отличие от Trojan.OneX.1, Trojan.OneX.2 «умеет» ладить с конфигурационными файлами в кодировке Unicode.

Среди рассылаемых троянцами сообщений распространены ссылки на принадлежащие злоумышленникам поддельные сайты: один из них, в частности, имитирует оформление службы RapidShare. Пользователю предлагают скачать под видом изображения в формате JPEG zip-архив, в котором располагается Photo14.JPG.scr — исполняемый файл (Trojan.Packed.22289), содержащий в себе троянца BackDoor.IRC.Bot.1446.

Эта троянская программа, отмечают эксперты компании, не только открывает злоумышленникам доступ к инфицированному компьютеру и способна похищать конфиденциальные данные, но и позволяет выполнять на зараженной машине различные команды, в частности, команду загрузки и установки других приложений.

Попутно специалистами компании «Доктор Веб» были зафиксированы случаи распространения с помощью троянцев BackDoor.IRC.Bot самой вредоносной программы Trojan.OneX, которая, в свою очередь, способствует дальнейшему распространению BackDoor.IRC.Bot.