22:41 Похождения "ВКонтакте" | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Уже большинство интернет- пользователей знают, что социальные не редко используются злоумышленниками для распространения вредоносного программного обеспечения или мошеннического контента. Особо в этой части можно выделить многострадальный Facebook или Tweete. В бесконечном списке российские сети не стали исключением. Ведь известно, что чем популярнее сеть у пользователей, тем активнее злоумышленники начинают её эксплуатировать. Так например всего за одну неделю, в популярной в Рунете сети ВКонтакте, при попытках пользователей перейти по ссылкам, размещенным на сайте, было зафиксировано около 32 000 срабатываний антивируса Касперского. Как правило, все вредоносные объекты, на которые ведут сомнительные ссылки в социальной сети, можно поделить на три основные категории:
Ниже мы приводим составленный "Лабораторией Касперского" ТОP 20 вердиктов антивируса:
На первом месте с большим отрывом располагается вердикт "Blocked”.
Под таким именем антивирусный модуль детектирует вредоносные или
мошеннические сайты. Как правило, на таких сайтах распространяются
фальшивые архивы (такие архивы оказываются либо пустыми, либо
«поврежденными», либо содержат торрент-файл и т.п.) и архивы, которые
помимо легального ПО содержат вредоносную программу. Кроме того, так
детектируются сайты, которые активно используются в ходе ставшей
традиционной для Рунета мошеннической схемы с использованием платных
SMS.
Фрагменты мошеннических сайтов На втором месте располагается Trojan.Win32.Starter.bae. Этот зловред используется вместе с двумя другими программами: злоумышленники создали инсталлятор, в котором объединили легальную программу "Вконтакте.IM”, червь Worm.Win32.VB.cvp и Trojan.Win32.Starter.bae, задача которого – "связать” все компоненты инсталлятора. После запуска инсталлятора пользователь видит на экране окно установщика легальной программы "Вконтакте.IM”. А в это время на компьютере в фоновом режиме уже работает червь Worm.Win32.VB.cvp. Эта вредоносная программа на стенах «друзей» пользователя публикует сообщения с вредоносными ссылками на веб-страницы, размещенные на бесплатных доменах "*.tk” и бесплатном хостинге "*.ucoz.*”. Фрагмент червя, содержащий строки, ответственные за публикацию сообщений Что любопытно, вредоносные файлы, на которые ведут ссылки в сообщениях, размещенных на доменах ".tk” второго (!) уровня. Как написано на сайте регистратора, рассматриваемая доменная зона относится к островам "Tokelau”, расположенным «на юге Тихого океана между Новой Зеландией и Гавайскими островами». Регистратор позволяет бесплатно создавать домены вида "*.tk”, что привлекает злоумышленников. Фрагмент сайта dot.tk Мошенники охотно эксплуатируют бесплатные домены для распространения зловредов. Но и против таких злоупотреблений ведётся борьба – несколько дней назад Microsoft подала иск в суд и добилась отключения доменной зоны "cz.cc”, которая активно использовалась злоумышленниками в том числе для управления ботнетом Kelihos/Hlux (http://blogs.technet.com/b/microsoft_blog/archive/2011/09/27/microsoft-neutralizes-kelihos-botnet-names-defendant-in-case.aspx). До этого Google целиком исключил из своей поисковой выдачи хорошо известные экспертам по безопасности сайты на "co.cc” и "co.tv”. Что касается домена ".tk”, то «Лаборатория Касперского» активно работает с регистратором для того, чтобы оперативно деактивировать вредоносные веб-сайты. Третий по популярности тип детектируемых объектов – модифицированные hosts-файлы. Все они детектируются антивирусными средствами под общим вердиктом – Trojan.Win32.Hosts2.gen. Файлы hosts используется для преобразования символьных имён доменов (например, kaspersky.ru) в соответствующие им IP-адреса (192.168.23.23) и наоборот. Злоумышленники изменяют файлы hosts таким образом, что пользователи зараженных машин, набирая адреса некоторых легальных сайтов, попадают на поддельные сайты злоумышленников. Распространяются модифицированные hosts-файлы вместе с вредоносными программами, задача которых – заменить на зараженном компьютере «хороший» hosts-файл вредоносным. Размещаются такие зловреды, как правило, на русских или бесплатных доменах. Отметим, что они не маскируются под легальное ПО. По-видимому, злоумышленники пытаются заинтересовать потенциальную жертву интригующими названиями файлов. На прошлой неделе файлы назывались "photo.exe”. Примеры вредоносных ссылок: http://***.tk/Photos.exe http://***.ru/photo1721.exe http://***.ru/file/file3311.exe http://***.ru/photo3345.exe http://***.ru/photo.exe http://***.ru/photo.exe http://***.ru/photo1780.exe http://***.tk/photo.exe http://***.ru/photo.exe http://***.ru/photo3329.exe http://***.ru/photo30170.exe http://***.tk/photo20108.exe http://***.ru/photo.exe http://***.ru/photo55789.exe http://***.com/picts/Fotos.exe http://***.ru/photo.exe Также эксперты проанализировали адреса страниц социальной сети ВКонтакте, с которых было выполнено больше всего переходов по вредоносным ссылкам. Какие же страницы представляют наибольшую опасность? С помощью двух разных алгоритмов было получено два рейтинга названий страниц, извлеченных из вредоносных ссылок:
Ниже приведено соответствие названий некоторых страниц их назначению в соцсети:
Страница "feed” находится на высоких позициях в обоих рейтингах и
соответствует ленте новостей. Это говорит о том, что пользователи
довольно часто переходят по ссылкам из статусов своих друзей. Достаточно
высоко в рейтингах расположена страница "mail” — следовательно,
пользователи часто «ловят» вредоносные ссылки в личных сообщениях. В
первом рейтинге большую часть составляют страницы приложений, во втором —
страницы групп. Причём по названиям некоторых приложений можно
предположить, что они используются в мошеннических схемах: kto_gosti,
visitors4u, visitosroficial и т.д. Большинство групп и приложений,
попавших в эти списки, уже заблокированы администрацией ВКонтакте.
Таким образом, в социальной сети ВКонтакте злоумышленники, как правило, размещают вредоносные ссылки на страницах:
Кроме того, опасные ссылки можно встретить в статусах. Возникает вопрос: как уберечься от заразы? Вам поможет внимательность, здравый смысл и хороший антивирус. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Всего комментариев: 0 | |