Специалисты компании «Доктор Веб» предупреждают пользователей о высокой активности зловредного приложения Trojan.MailGrab.61, предназначенного для кражи емэйл-адресов с целью дальнейшего распространения спама. Другой функцией трояна является искусственная накрутка посещений сайтов, выбранных злоумышленниками.

При инфицировании операционной системы Trojan.MailGrab.61 делает свою копию со случайным именем и расширением dll, а затем, в зависимости от установленных популярных программ, маскируется под динамические библиотеки этого ПО и размещает себя в установочных директориях.

В случае успешной загрузки в память Trojan.MailGrab.61 помечает свой исходный установщик для удаления после перезапуска системы, а запущенный процесс проверяет процесс, в который зловред внедрился, на принадлежность к браузеру. В случае положительной проверки на сервер киберпреступников отправляется сообщение об успешной установке, а в ответ приходит зашифрованный список адресов сайтов, которые необходимо “накручивать”.

Одновременно Trojan.MailGrab.61 сканирует весь сетевой трафик и перехватывает любые емэйл-адреса, сохраняя их в файл Windows\inf\jer.pnf, который регулярно отсылается злоумышленникам и затем очищается.