Объявившийся в Сети троянский конь укореняется на пользовательском компьютере и принимается заваливать окружающий мир SMS-спамом, используя для этой цели SMS-гейты российских операторов сотовой связи.

Журнал The Register, ссылающийся на данные антивирусной компании Sophos, пишет, что троянская пр
грамма Delf-HA (TrojanDropper.Win32.Delf.fa) пытается рассылать спам на мобильные номера с префиксами +7921 и +7911, за которыми следует случайная цифровая комбинация из шести цифр. Несмотря на то, что в “диком” виде пока обнаружено относительно небольшое количество копий новой напасти, абоненты соответствующих операторов могут испытать в ближайшее время весьма неприятные ощущения, выковыривая из своих телефонов десятки (если не сотни) SMS-посланий рекламного характера.

Собственно троян распространяется только по Windows-машинам в виде UPX-файла с именем inst.exe (хотя вполне возможно, что имя может варьироваться случайным образом). Попав на атакуемую машину, троян самостоятельно инсталлируется, создавая в системном каталоге файл rundnm.exe и загружая с сайта www.vlasof1.narod.ru (что характерно, на момент написания заметки сайт все еще работал) файл sms.txt с текстом “Ya tut nashel v internete klassni sait na kotorom pesni v mp3 bez golosa ispolnitela-minsovki.WWW.MINUSOVKA.RU .Dla muzikanta-eto klad.”, который впоследствии рассылается через SMS-гейты неназванных российских операторов мобильной связи.

Для того, чтобы вирус не прекратил работы после перезагрузки компьютера, в системном реестре создается запись HKLMSoftwareMicrosoftWindowsCurrentVersionRunRUNDNMRundnm.exe.

Инструкции по удалению программы можно найти на сайте компании Sophos – http://www.sophos.com/support/disinfection/trojan.html.

By Ruslan Novikov

Интернет-предприниматель. Фулстек разработчик. Маркетолог. Наставник.