Организованная спам-рассылка писем, содержащих инфицированные вложения, привела тогда к тому, что присутствие BackDoor.Groan составляло почти 90% инфицированного почтового трафика. Отличительной особенностью данной вредоносной программы является использование постоянно видоизменяющихся упаковщиков исполняемого файла, а также то, что авторы активно используют приeмы социальной инженерии для того, чтобы пользователь запустил предлагаемый файл – почти каждый праздник или, наоборот, трагическое событие использовались злоумышленниками для организации новой спам-рассылки. Стоит также отметить, что спустя некоторое время после появления первой модификации BackDoor.Groan его авторы сменили тактику распространения своего детища – рассылаемые ими письма не содержали вложения как такового, а лишь указывалась ссылка для непосредственной закачки файла. При этом, если пользователь открывал предлагаемую ссылку с помощью браузера Internet Explorer, то автоматически выполнялся загрузочный скрипт и заражение происходило незаметно для пользователя.

Вот и сейчас, праздник дня святого Валентина не остался без внимания злоумышленников – организована мощная спам-рассылка писем с темами Valentine Friends, You are My Valentine, Powerful Love и ссылкой для закачки «валентинки» - valentine.exe (определяется по классификации Dr.Web как Trojan.Packed.357). При своeм запуске программа помещает в системный каталог Windows и устанавливает в системе драйвер со случайным именем (определяется по классификации Dr.Web как Trojan.Spambot.2569) и регистрирует его в системном реестре. В добавок, она помещает в систему конфигурационный файл для работы с P2P-сетями. Далее внедряет свой код, открывает случайные UDP-порты и начинает рассылать запросы. При получении положительного отклика начинает рассылать спам.

Для пользователей решений компании «Доктор Веб» данные рассылки не представляют опасности – встроенный в почтовый фильтр SpIDerMail антиспам-фильтр успешно борется с рассылками Trojan.Packed.357, а модуль проверки ссылок для почтового клиента Mozilla Thunderbird позволит проверить интересующую ссылку на предмет встроенных в веб-страницу вредоносных скриптов (подробнее о бесплатном модуле проверки ссылок в браузерах и электронных письмах читайте на специальном сайте).

Тем не менее, при подозрении, что ваш компьютер инфицирован Trojan.Packed.357, скачайте бесплатную лечащую утилиту Dr.Web CureIt! с сайта и просканируйте все логические диски. Для найденных объектов применить действие «Лечить». Успешное лечение обеспечивается антируткит-драйвером Dr.Web ShieldTM.