Главная » 2009»Октябрь»7 » О новых вирусах в сентябре 2009: Отчет от Др.Веба
О новых вирусах в сентябре 2009: Отчет от Др.Веба
18:07
Лже-антивирусы уже не первый месяц беспокоят пользователей по всему
миру. Для того, чтобы человек скачал такую вредоносную программу,
придумываются самые разные ухищрения — от специальных интернет-ресурсов
с рекламой вымышленного «антивируса» до традиционных спам-рассылок.
В
конце сентября заметное распространение получила одна из модификаций
лже-антивирусов Trojan.Fakealert.5115. Пик активности этой вредоносной
программы пришёлся на 27 сентября, когда на серверах статистики "Доктор
Веб" было зафиксировано более 800 тысяч ее обнаружений.
После
запуска Trojan.Fakealert.5115 в области уведомлений Windows появляется
значок с сообщением о том, что система инфицирована и что необходимо
использовать специальное ПО для того, чтобы избежать потери данных.
Далее сообщается о том, что Windows автоматически загрузит необходимое
ПО, для чего нужно щёлкнуть по сообщению.
После этого со
специально подготовленных серверов происходит загрузка остальных
компонентов Trojan.Fakealert.5115, которые определяются Dr.Web как
Trojan.Fakealert.4709 и Trojan.Fakealert.5112. Из визуальных проявлений
Trojan.Fakealert.5115 можно также отметить отображение окна
вымышленного антивирусного продукта под названием Antivirus Pro 2010.
В
настоящее время отмечено распространение новых модификаций этого
лже-антивируса — Trojan.Fakealert.5229 и Trojan.Fakealert.5238.
Отличием Trojan.Fakealert.5229 других подобных модификаций является
перезагрузка системы во время работы троянской программы.
Trojan.Fakealert.5238
отличается тем, что отображает модифицированное окно Windows Security
Center, в котором сообщается о том, что компьютер якобы защищён с
помощью Antivirus Pro 2010, но необходимо приобрести его лицензию.
При
нажатии на соответствующую кнопку открывается специально подготовленный
сайт, с помощью которого можно купить данную весьма недешёвую
бутафорию. На деле же предлагаемый "полноценный антивирус", как и
всегда, оказывается пустышкой.
Лже-антивирусы уже в течение
нескольких лет обеспечивают злоумышленникам значительный доход,
полученный преступным путём, но за последний месяц распространение
данного типа вредоносного ПО существенно усилилось.
С
необычным предложением обратился к своим потенциальным жертвам один из
вирусописателей со своей странички в Интернете. Он опубликовал
подробности о якобы обнаруженном недавно методе взлома учётных записей
пользователей популярной социальной сети «ВКонтакте». При помощи этого
метода, злоумышленник предлагает получить возможность редактировать
чужие анкетные данные, а также одновременно защитить от данной
"уязвимости" свой профиль.
Для достижения этой цели он
рекомендует пользователю самостоятельно модифицировать системный файл
hosts. При этом с плеч вирусописателя снимается забота о том, как
реализовать данную операцию в рамках вредоносной программы.
Естественно,
после выполнения инструкций, долгожданный эффект, обещанный автором
сайта, не наступает. На этот случай злоумышленник предлагает загрузить
программу, которая внесёт необходимые настройки автоматически. И тут
пользователей ждёт разочарование — поскольку и теперь ожидаемого
результата нет. Что и неудивительно, ибо эта программа определяется
Dr.Web как Trojan.DownLoad.47503. Как показывает статистика,
почувствовать себя «хакерами» решили сотни посетителей сети.
Вредоносная программа продолжает своё распространение, пик которого
пришёлся на 28 сентября.
В течение последней недели сентября
2009 года через рассылку по ICQ получила распространение новая
модификация Trojan.Winlock — 252 и Trojan.PWS.LDPinch.1941.
Пользователю
приходило сообщение, содержащее текст: "Никого не узнаешь на этой
фотке?" и ссылку на веб-страницу, где якобы опубликована фотография.
При
загрузке веб-страницы скачивается файл lock.ex, упакованный вирусными
упаковщиками. В процессе своей работы он сохраняет на компьютер
пользователя четыре файла — explorerr.ex, svcoost.ex, 43.jpg, а также
154.bat — файл, удаляющий дроппера.
Explorerr.ex определяется
Dr.Web как Trojan.PWS.LDPinch.4308. Он упакован вирусным упаковщиком +
FSG. Распакованный объект детектируется как Trojan.PWS.LDPinch.1941. В
свою очередь svcoost.ex определяется как Trojan.Winlock.252.
Тот
факт, что теперь Trojan.Winlock распространяется вместе с «пинчем»,
делает эту угрозу еще более опасной, поскольку не только блокируется
система, но и похищаются пароли, найденные на компьютере жертвы.
