19:20 18.05.2010 Не верь глазам своим | |
На прошлой неделе посредством социальной сети «ВКонтакте» под видом нового
приложения, изменяющего тему оформления персональной странички, получил своё распространение троянец, который модифицирует на зараженном компьютере файл
hosts в операционной системе Widows. Чтобы при открытии файла hosts данные, добавленные троянцем, не были обнаружены сразу, они записаны в конец файла после пустой незаполненной
области, получившейся в результате перевода строк. В модифицированном файле hosts прописано около 100 наиболее популярных у
российских пользователей сайтов.  При попытке пользователя зараженного компьютера выйти на любой из
этих сайтов (кроме vkontakte.ru), он перенаправляется на сервер, который
выводит в браузере сообщение, имитирующее оформление в стиле
Web-антивируса Лаборатрии Касперского:
 Недавно мы писали о блогпосте Дмитрия Бестужева, в котором он рассказал о фальшивом антивирусе с похожим
на продукт «Лаборатории Касперского» оформлением. Как видим, интерфейс
антивирусных решений используется злоумышленниками не только для
распространения лже-антивирусов. В данном случае сообщение, очень
похожее на сообщение антивируса Касперского, используется, чтобы, не вызвав подозрений у
пользователя, отослать его к поддельному сайту vkontakte.ru. При попытке пользователя зайти на сайт vkontakte.ru, он
перенаправляется на фальшивую главную страницу социальной сети.
Расположена она на том же сервере, который выдает фальшивое сообщениеантивируса . Введенные логин и пароль отправляются злоумышленникам, после чего
сервер возвращает информацию о якобы заблокированной странице
пользователя — в связи с рассылкой с данного компьютера спам-сообщений.
Для предоставления доступа к сайту пользователю предлагается отправить
SMS на короткий номер:
 Многие пострадавшие пытаются самостоятельно справиться с проблемой и
ищут помощи на форумах, где им советуют в первую очередь найти и
проверить файл hosts. Этот файл троянец делает скрытым, но в той же
папке создает файл hosts.txt, видимый пользователям. Текст, который в
нем содержится, мошенники явно адресовали своим жертвам:
Если пользователь попадется на удочку мошенников и отправит платную
SMS (цена которой, по свидетельству пострадавших, превышает указанные
100 руб.), полученный им код активации никак не изменит ситуацию: hosts
файл на компьютерах жертв невозможно вернуть к исходному состоянию со
стороны сервера. Данный троянец детектируется «Лабораторией Касперского» как Trojan.Win32.Qhost.ncw
и представляет собой .NET-приложение. Будьте бдительны и не попадайтесь на уловки мошенников. | |
|
| |
| Всего комментариев: 0 | |