Pinch – одна из легендарных вредоносных программ Рунета. С середины 2003 года этот троянец доставляет регулярные проблемы антивирусным компаниям. Его исходные коды модифицировали и правили многие начинающие злоумышленники, а базы паролей, украденные с его помощью, постоянно появлялись на черном рынке. Не удивительно, что именно этот троянец «всплыл» в одном из прошедших инцидентов, связанных с фотохостингом компании Google.

Логотип программы Picasa,
осуществляющей непосредственную работу
с фотохостингом компании Google

Достаточно регулярно нами фиксируются массовые рассылки сообщений со ссылками на троянские программы посредством различных IM-сервисов. Как только не пытаются заарканить доверчивых пользователей! От банальных попыток сыграть на «основном инстинкте»:

И на любви к бесплатному доступу в интернет:

До намеков на социальную инженерию:

За окном тепло и солнечно, кошки греются под последними лучами солнца, а в почтовом Рунете бушует Scano. Благодаря массовым рассылкам в субботу и воскресенье это червь занимает первое место хит-парада почтовых вредоносных программ. Посмотрим, удастся ли ему удержать пальму первенства.

Поздним вечером воскресенья была зафиксирована рассылка Trojan-PSW.Win32.LdPinch.axl. Это был бы мало примечательный факт, если бы не письмо, с которым рассылался троянец.

Если внимательно взглянуть на письмо, то станет ясно, что письмо подозрительное (каждый сам для себя решит, почему оно подозрительное, я обнаружил, по крайней мере, 5 подозрительностей).

В последние несколько дней в российском сегменте интернета наблюдаются масштабные рассылки сразу нескольких модификаций вредоносной программы Trojan-PSW.Win32.LdPinch. Распространение происходит как с помощью спам-расылок, так и с помощью ICQ-сообщений, которые вы можете получать как от имени ваших знакомых, так и от имени неизвестных отправителей (чаще всего за неизвестного отправителя выдается девушка).

Безусловно, ничего нового и интересного здесь нет. Все вредоносные программы оперативно вносятся в наши ежечасные антивирусные обновления. Так в чем же дело?

А дело в том, что многие пользователи, не обращая внимания на наши многочисленные предупреждения, запускают получаемые файлы или ссылки, что приводит к краже их паролей.

Если вы запустили у себя данную вредоносную программу из почтового вложения или по ссылке, приведенной в ICQ-сообщении, то вам необходимо:

• обновить свои антивирусные базы;
• проверить свой компьютер с целью удаления вредоносного кода;
• сменить все пароли для работы в сети (почта, ICQ и другие сетевые клиенты).

Сегодня нами перехвачена очередная модификация LdPinch — Trojan-PSW.Win32.LdPinch.ahe.

В процессе распространения данная вредоносная программа рассылает от имени пользователя по его контакт-листу сообщение следующего вида:

Полный текст сообщения включает ссылку, указывающую на файл с именем Help.chm.

Получив от знакомого подобное сообщение, большинство получателей щелкают по ссылке, что приводит к дальнейшему распространению вредоносной программы и краже пользовательских паролей.

Детектирования данной вредоносной программы уже добавлено в наши антивирусные базы.

Несколько дней назад мы уже писали о перерождении троянской программы Trojan-PSW.Win32.LdPinch, которая предназначена для кражи паролей и другой виртуальной собственности пользователей, в IM-червя.

Бывший троянец теперь умеет рассылать ссылки на себя по контакт-листу интернет-пейджера зараженного компьютера.

Сегодня зарегистрировано появление новой модификации этой вредоносной программы. К сожалению, многие пользователи, не обращая внимания на наши предупреждения, скачали и запустили эту вредоносную программу.

Вредоносная программа распространяется в виде ссылок, которые приведены в сообщении, рассылаемом червем от имени ваших знакомых. Факт получения ссылки от знакомого играет решающую роль: он заставляет пользователя скачать и запустить вредоносную программу.

С утра 7 ноября в Рунете в виде передаваемой через интернет-пейджеры ссылки распространяется Trojan-PSW.Win32.LdPinch.xh.

Вредоносная программа рассылается по контакт-листу интернет-пейджера зараженной машины, из-за чего получающие ссылку пользователи думают, что она пришла им от знакомых людей, скачивают программу по ссылке и запускают ее на выполнение.

Получаемое пользователями сообщение выглядит следующим образом:

Мы просим пользователей не скачивать содержимое указанной в подобном сообщении ссылки (по ней находится RAR-архив размером 26 КБ), даже если вы якобы получили это сообщение от вашего знакомого.

Тем, кто уже скачал и запустил находившийся в архиве файл необходимо срочно сменить все пароли — в том числе на доступ к почте и к интернет-пейджерам.

Детектирование вредоносной программы уже добавлено в антивирусные базы и выпущено в составе последних обновлений для Антивируса Касперского.