Subscribe feed

Доктар Вэб: Вірусная актыўнасць у верасні 2009 гады

7 кастрычніка 2009

Кампанія "Доктар Вэб" прадставіла агляд віруснай актыўнасці ў верасні 2009 гады. У мінулым месяцы найболей актуальнымі віруснымі падзеямі сталі рэзка ўзрослая актыўнасць траянскай праграмы Trojan.Encoder, якая шыфруе дадзеныя на кампутарах сваіх ахвяр, працяг нашэсця лже-антывірусаў, а таксама арыгінальныя метады "узлому" сацыяльных сетак.

На працягу апошняга месяца істотна ўзрасло колькасць ахвяр праграмы-вымагальніка Trojan.Encoder, якая шыфруе дакументы карыстачоў і патрабавальнай выкуп за іх расшыфроўку. У цяперашні час сума выкупу складае 600 рублёў, і пры гэтым нават пасля пераліку гэтых грошай зламысніку, які называе сябе "Карэктар", ён не гарантуе перадачу ўтыліты-дэшыфратара або яе працаздольнасць у сістэме пацярпелага карыстача.

У апошнія дні з'явіліся 3 новыя мадыфікацыі Trojan.Encoder — 43, 44 і 45. Яны адрозніваюцца ад папярэдніх новым ключом шыфравання дакументаў, а таксама новымі кантактнымі дадзенымі зламысніка. Адмыслоўцы "Доктар Вэб" аператыўна стварылі ўтыліты, якія дазваляюць расшыфраваць файлы, доступ да якіх быў заблакаваны новымі мадыфікацыямі Trojan.Encoder. Але асабліва цікавая яшчэ адна, самая "свежая" мадыфікацыя Trojan.Encoder. Гэтая версія траянскай праграмы дадае да зашыфраваных файлаў пашырэнне .DrWeb.

Акрамя таго, у распараджэнні адмыслоўцаў "Доктар Вэб" апынулася спасылка на адзін з сайтаў аўтара актуальных мадыфікацый Trojan.Encoder. Цікава, што ўладальнік гэтага рэсурсу спрабуе асацыяваць сябе з "Доктар Вэб", выкарыстаючы выявы павука і дактары, у то час як кампанія не мае да падобных сайтаў ніякага стаўлення.

Зламыснік усяляк спрабуе паўстаць перад пацярпелымі з дадатнага боку — як чалавек, які дапамагае аднавіць дакументы карыстачоў. На сваім сайце ён прапаноўвае прагледзець ролік, у якім дэманструецца праца ўтыліты дэшыфроўкі дакументаў, за якую вымагаюцца грошы.

Па наяўных звестках можна меркаваць, што вымаганнем грошай пасля шыфравання файлаў займаецца адзін чалавек.

Лже-антывірусы ўжо не першы месяц турбуюць карыстачоў па ўсім міры. Для таго, каб чалавек запампаваў такую шкоднасную праграму, прыдумляюцца самыя розныя хітрыкі — ад адмысловых інтэрнэт-рэсурсаў з рэкламай выдуманага «антывіруса» да традыцыйных спам-рассыланняў.

У канцы верасня прыкметнае распаўсюджванне атрымала адна з мадыфікацый лже-антывірусаў Trojan.Fakealert.5115. Пік актыўнасці гэтай шкоднаснай праграмы прыйшоўся на 27 верасня, калі на серверах статыстыкі "Доктар Вэб" было зафіксавана больш 800 000 яе детектов.

Пасля запуску Trojan.Fakealert.5115 у вобласці апавяшчэнняў Windows з'яўляецца значок з паведамленнем аб тым, што сістэма інфікаваная і што неабходна выкарыстаць адмысловае ПА для таго, каб пазбегнуць страты дадзеных. Далей паведамляецца аб тым, што Windows аўтаматычна загрузіць неабходнае ПА, для чаго трэба пстрыкнуць па паведамленні.

Пасля гэтага са адмыслова падрыхтаваных сервераў адбываецца загрузка астатніх кампанентаў Trojan.Fakealert.5115, якія вызначаюцца Dr.Web як Trojan.Fakealert.4709 і Trojan.Fakealert.5112. З візуальных праяў Trojan.Fakealert.5115 можна таксама адзначыць адлюстраванне акна выдуманага антывіруснага прадукта пад назовам Antivirus Pro 2010.

У цяперашні час адзначана распаўсюджванне новых мадыфікацый гэтага лже-антывіруса — Trojan.Fakealert.5229 і Trojan.Fakealert.5238. Адрозненнем Trojan.Fakealert.5229 іншых падобных мадыфікацый з'яўляецца перазагрузка сістэмы падчас працы траянскай праграмы.

Trojan.Fakealert.5238 адрозніваецца тым, што адлюстроўвае мадыфікаванае акно Windows Security Center, у якім паведамляецца аб тым, што кампутар нібы абаронены з дапамогай Antivirus Pro 2010, але неабходна набыць яго ліцэнзію.

Пры націску на якая адпавядае кнопку адчыняецца адмыслова падрыхтаваны сайт, з дапамогай якога можна купіць дадзеную вельмі нятанную бутафорыю. На справе жа прапанаваны "паўнавартасны антывірус", як і заўсёды, апыняецца пустышкай.

Хто жадае ўзламаць сацыяльную сетку?

З незвычайнай прапановай звярнуўся да сваіх патэнцыйных ахвяр адзін з вірусастваральнікаў са сваёй старонкі ў Інтэрнэце. Ён апублікаваў падрабязнасці аб нібы выяўленым нядаўна метадзе ўзлому ўліковых запісаў карыстачоў папулярнай сацыяльнай сеткі «Вконтакте». Пры дапамозе гэтага метаду, зламыснік прапаноўвае атрымаць магчымасць рэдагаваць чужыя анкетныя дадзеныя, а таксама адначасова абараніць ад дадзенай "уразлівасці" свой профіль.

Для дасягнення гэтай мэты ён рэкамендуе карыстачу самастойна мадыфікаваць сістэмны файл hosts. Пры гэтым з плечаў вірусастваральніка здымаецца клопат аб тым, як рэалізаваць дадзеную аперацыю ў рамках шкоднаснай праграмы.

Натуральна, пасля выканання інструкцый, доўгачаканы эфект, абяцаны аўтарам сайта, не надыходзіць. На гэты выпадак зламыснік прапаноўвае загрузіць праграму, якая занясе неабходныя налады аўтаматычна. І тут карыстачоў чакае расчараванне — паколькі і зараз чаканага выніку няма. Што і нядзіўна, бо гэтая праграма вызначаецца Dr.Web як Trojan.DownLoad.47503.

Як паказвае статыстыка, адчуць сябе "хакерамі" вырашылі сотні наведвальнікаў сеткі. Шкоднасная праграма працягвае сваё распаўсюджванне, пік якога прыйшоўся на 28 верасня.


рэкамендуем прачытаць таксама

Каментаванне не дазволенае.

Rambler's Top100