Email-Worm.Win32.Lover.a – нетипичный кейлоггер

Лаборатории Касперского удалось обнаружить оригинальный кейлоггер, способный эффективно организовать скрытое присутствие в системе.

Выявленный червь распространяется по электронной почте в файле to_my_love.scr. Его запуск ведет к появлению некого подобия скринсейвера "Геометрический вальс", что призвано отвлечь внимание пользователя. На зараженном компьютере кейлоггер производит запись нажатых клавиш при работе с браузерами, почтовыми и IM-клиентами (Opera, Firefox, Internet Explorer, The Bat!, MSN Messenger, ICQ, QIP и другими).

Для своего сокрытия червь разделяет исполнительный код на части, чтобы не дать себя обнаружить. Запуск зараженного приложения ведет к процессу "склеивания" червя и записи зафиксированной информации о работе в папку Windows с именем ia*.cfg. Далее файл с данными отсылается на FTP-сервер rdtsc.***.com.

Имеющая место маскировка отмечена Лабораторией Касперского как нетипичная для такого вида угроз, а обнаруженная в коде лексика позволила специалистам компании предположить, что автор кейлоггера является русскоговорящим. Сигнатура для обнаружения Email-Worm.Win32.Lover.a уже добавлена в базы Лаборатории Касперского.