"Антипіратський" троян псує mp3-файли

Фахівці Sophos виявили цікаву троянську Windows-программу, створену якимись принциповими ентузіастами з метою завдати удару по музичному піратству. Троян маскується під mp3-файл із записом пісні якоїсь індонезійської групи Samsons, будучи при цьому виконуваним файлом.

Троя маскується під mp3-файл із записом пісні якоїсь індонезійської групи Samsons, будучи при цьому виконуваним файлом вигляду <ім'я>.mp3.exe з піктограмою від плеєра WinAmp. Спроба прослухати цю "пісню", запустивши файл з Провідника Windows, приводить до шкідливих дій.

Так, троян створює в системній папці файл winamp.dll.exe і робить декілька записів в системному реєстрі. При цьому, зокрема, блокується робота плеєра WinAmp, а також програми regedit, призначеною для перегляду і редагування реєстру. Крім того, він чіпляється до всіх виявлених на жорсткому диску комп'ютера mp3-файлів, перетворюючи їх на заражені exe-шники того ж вигляду (<старе ім'я>.mp3.exe).

Нарешті, при кожному завантаженні зараженої системи користувачеві видається повідомлення на індонезійській мові із закликом припинити красти інтелектуальну власність музичної індустрії і не використовувати більше mp3. У Sophos нічого не говорять про те, чи уміє троян відрізняти музичні файли, захищені авторським правом, від тих, на які дія копірайта не поширюється.

Відзначимо, що в Windows зазвичай (а значить, враховуючи лінь користувачів, в більшості випадків) ховаються стандартні розширення файлів, у тому числі виконуваних, так що файли вигляду <ім'я>.mp3.exe виглядають в Провіднику як <ім'я>.mp3. Ця практика збереглася і в реліз-кандидаті прийдешньої ОС Windows 7, до незадоволення фахівців з кібербезпеки з F-Secure.

Можна також порадіти, що у наш час, коли більшість вірусостворювачів керуються меркантильними інтересами, деколи все-таки зустрічаються шкідливі програми чисто деструктивного характеру, прямо як в старі добрі часи. До речі, кілька місяців тому в Sophos вже виявляли антипіратських трояна, який, правда, всього лише блокував доступ до торрент-сетям за допомогою внесення змін до файлу hosts , повідомляє ТСН.

Обговорити на форумі