Исзвесно, что социальные сети являются лакомым кусочком для различного рода мошенников. Как правило, через подобного рода ресурсы, злоумышленники часто осуществляют распространение вредоносных программ и реализуют свои мошеннические схемы. Так один из пользователей сети, просматривая новости своего аккаунта, наткнулся на группу с интригующим для выпускников школ и абитуриентов названием –
«ЕГЭ 2010. Сообщение имело следующее содержание: У Вас есть отличная возможность поступить в ВУЗ на
бюджетной основе». Данное сообщение показалось пользователю подозрительным и он решил
проверить содержимое группы лично.
Скриншот сайта группы «ЕГЭ 2010. У Вас есть
отличная возможность поступить в ВУЗ на бюджетной основе» в социальной
сети VKontakte
Внимание сразу же привлекает ссылка, по которойпользователю предлагается
скачать и запустить файл. Скачаный файл представлял
собой установщик на основе Smart Installer. Распаковав его, было обнаружено
три файла – легальный uninstall от Smart Installer, установочный скрипт и
hosts файл. Как мы понимаем – это вредоносный файл.
Фрагмент извлечённого установочного скрипта Smart
Installer
Фрагмент извлечённого hosts файла
Что интересно, в hosts файл ссылки дописаны не просто в конец, а ещё и
«окружены» множеством символов переносов строки. Таким образом, если
открыть файл стандартным текстовым редактором, например, блокнотом, то
на первом экране будут присутствовать только строки оригинального hosts
файла. Такой приём позволяет не распознать добавление вредоносных
соответствий некоторым пользователям, которые могли предположить что –
то неладное в системе. Перейдя по адресу, который приведён на предыдущем скриншоте, пользователь попал на
«подставной» сайт сети VKontakte.
Страница подставного сайта VKontakte
После ввода произвольных данных, в качестве логина и пароля, появилась страница, в которой предлагалось отправить СМС на короткий
номер для разблокировки аккаунта. Проверив стоимость отправки на сайте
smscost.ru, оказалось, что она колеблется от 100 до 300 рублей, в
зависимости от номера. Подводя итоги всего вышесказанное, хочется отметить, что злоумышленники очень
оперативно реагируют на самые актуальные тенденции в нашем обществе.
Сейчас начался сезон поступления абитуриентов в ВУЗы. А учитывая, что в
настоящее время все выпускники обязаны сдавать ЕГЭ, а ВУЗы принимать
его, то становится понятным расчёт тех, кто разрабатывал зловреда и
подставной сайт. Таким образом, мало того, что доверчивый пользователь
лишается денег на отправке СМС, так ещё и его аккаунт может
использоваться для рассылки спама. В настоящее время вредоносный объект детектируется как
Trojan.Win32.VkHost.agb, а ссылки блокируются Web-антивирусом
|