Специалисты Sophos обнаружили любопытную троянскую Windows-программу, созданную некими принципиальными энтузиастами с целью нанести удар по музыкальному пиратству.
Троянец маскируется под mp3-файл с записью песни некой индонезийской группы Samsons, являясь при этом исполняемым файлом вида <имя>.mp3.exe с пиктограммой от плеера WinAmp. Попытка прослушать эту "песню", запустив файл из Проводника Windows, приводит к ряду вредоносных действий.
Так, троян создаёт в системной папке файл winamp.dll.exe и делает несколько записей в системном реестре. При этом, в частности, блокируется работа плеера WinAmp, а также программы regedit, предназначенной для просмотра и редактирования реестра. Кроме того, он цепляется ко всем обнаруженным на жёстком диске компьютера mp3-файлам, превращая их в зараженные exe-шники того же вида (<старое имя>.mp3.exe).
Наконец, при каждой загрузке зараженной системы пользователю выдаётся сообщение на индонезийском языке с призывом прекратить воровать интеллектуальную собственность музыкальной индустрии и не использовать больше mp3. В Sophos ничего не говорят о том, умеет ли троян отличать музыкальные файлы, защищённые авторским правом, от тех, на которые действие копирайта не распространяется.
Отметим, что в Windows по умолчанию (а значит, учитывая лень пользователей, в большинстве случаев) скрываются стандартные расширения файлов, в том числе исполняемых, так что файлы вида <имя>.mp3.exe выглядят в Проводнике как <имя>.mp3. Эта практика сохранилась и в релиз-кандидате грядущей ОС Windows 7, к вящему неудовольствию специалистов по кибербезопасности из F-Secure.
Можно также порадоваться, что в наше время, когда большинство вирусописателей руководствуются меркантильными интересами, порой всё-таки встречаются вредоносные программы чисто деструктивного характера, прямо как в старые добрые времена. Кстати, несколько месяцев назад в Sophos уже выявляли антипиратского трояна, который, правда, всего лишь блокировал доступ к торрент-сетям при помощи внесения изменений в файл hosts.
Источник: