Троянец распространяется анонимными пользователями на онлайн-сервисе под видом бесплатного лицензионного ключа для антивируса "Dr.Web". Как правило, подобные сообщения содержат сокращенную ссылку на файловый хостинг RGhost.
"Если пройти по ней, потенциальной жертве будет предложено загрузить RAR-архив объемом порядка 26 Кбайт", – говорится на официальном сайте компании. Отмечается, что архив содержит небольшой файл, имеющий значок простого текстового документа. "Все исследованные образцы этого приложения представляют собой один и тот же бэкдор, однако перед размещением его в Интернете злоумышленники всякий раз переупаковывали вредоносную программу во избежание сигнатурного детекта", – сообщают специалисты.
Вредоносная программа после запуска соединяется с главным сервером и отправляет всю информацию об инфицированном компьютере, в том числе о наличии веб-камеры. Кроме того, вирус может воровать пароли, выключать или перезагружать компьютер, выводить на экран пугающие видео или текст, воспроизводить с помощью динамиков заданные фразы и т.д.
В компании подчеркнули, что в последние годы такие программы встречаются редко. "Большая часть современных троянцев ориентирована на извлечение преступниками коммерческой выгоды, а распространением вирусов с целью попугать жертву ради собственного удовольствия чаще всего занимаются подростки старшего школьного возраста", – отмечают эксперты.