"Антипиратский" троян портит mp3-файлы

Специалисты Sophos обнаружили любопытную троянскую Windows-программу, созданную некими принципиальными энтузиастами с целью нанести удар по музыкальному пиратству.

Троянец маскируется под mp3-файл с записью песни некой индонезийской группы Samsons, являясь при этом исполняемым файлом вида .mp3.exe с пиктограммой от плеера WinAmp. Попытка прослушать эту "песню", запустив файл из Проводника Windows, приводит к ряду вредоносных действий.

Так, троян создаёт в системной папке файл winamp.dll.exe и делает несколько записей в системном реестре. При этом, в частности, блокируется работа плеера WinAmp, а также программы regedit, предназначенной для просмотра и редактирования реестра.

Кроме того, он цепляется ко всем обнаруженным на жёстком диске компьютера mp3-файлам, превращая их в зараженные exe-шники того же вида (.mp3.exe).

Наконец, при каждой загрузке зараженной системы пользователю выдаётся сообщение на индонезийском языке с призывом прекратить воровать интеллектуальную собственность музыкальной индустрии и не использовать больше mp3.

В Sophos ничего не говорят о том, умеет ли троян отличать музыкальные файлы, защищённые авторским правом, от тех, на которые действие копирайта не распространяется.

Отметим, что в Windows по умолчанию (а значит, учитывая лень пользователей, в большинстве случаев) скрываются стандартные расширения файлов, в том числе исполняемых, так что файлы вида .mp3.exe выглядят в Проводнике как .mp3.

Эта практика сохранилась и в релиз-кандидате грядущей ОС Windows 7, к вящему неудовольствию специалистов по кибербезопасности из F-Secure.

Можно также порадоваться, что в наше время, когда большинство вирусописателей руководствуются меркантильными интересами, порой всё-таки встречаются вредоносные программы чисто деструктивного характера, прямо как в старые добрые времена.

Кстати, несколько месяцев назад в Sophos уже выявляли антипиратского трояна, который, правда, всего лишь блокировал доступ к торрент-сетям при помощи внесения изменений в файл hosts.