Кампанія «Доктар Вэб» паведаміла аб шырокім распаўсюджванні шкоднасных праграм сямейства Trojan.HttpBlock, якія за ўзнаўленне доступу да папулярных інтэрнэт-рэсурсам патрабуюць адправіць платнае СМС-паведамленне на кароткі нумар 6681. У цяперашні час звароту з нагоды лячэнні кампутара ад Trojan.HttpBlock складаюць каля 80% усіх запытаў у бясплатную тэхнічную падтрымку кампаніі «Доктар Вэб» для карыстачоў, пацярпелых ад інтэрнэту-махлярствы.
Пачатак распаўсюджванні траянаў сямейства Trojan.HttpBlock было зафіксавана 22 верасня 2010 гады. Заражаючы кампутар, гэтыя шкоднасныя праграмы мадыфікуюць сістэмны файл hosts і тым самым блакуюць доступ да папулярных сайтаў. Trojan.HttpBlock з'яўляецца новым вітком развіцця траянцаў, якія выкарыстаюць інтэрнэт-ашуканцы. Ён улічвае і абыходзіць складанасці, з якімі зламыснікі сутыкаліся раней. У адрозненне ад траянаў сямейства Trojan.Hosts, якія таксама блакуюць доступ да папулярных інтэрнэт-рэсурсам, перанакіроўваючы браўзэр на шкоднасныя сайты, Trojan.HttpBlock перанакіроўвае карыстача на вэб-сервер, усталёўваны на яго жа кампутары. Такім чынам зламыснікі значна спрашчаюць сабе задачу. На самай справе, аўтарам Trojan.HttpBlock не трэба стала шукаць новы хостынг для старонак. Таксама няма неабходнасці маскіраваць старонку пад дызайн даверанага сайта, каб усыпіць пільнасць карыстача. Trojan.HttpBlock выводзіць у інтэрнэт-браўзэры тэкставую старонку, на якой паведамляецца, што доступ у Інтэрнэт быў заблакаваны за наведванне сайтаў дарослай тэматыкі, і для яго ўзнаўлення неабходна адправіць платнае СМС-паведамленне на кароткі нумар 6681. Таксама ўзнікаюць складанасці пры спробе скарыстацца ўтылітамі для аналізу заражанай сістэмы: траян завяршае працу некаторых небяспечных для сябе працэсаў у адпаведнасці са спісам, складзеным аўтарамі праграмы. Пры гэтым траян разлічаны і на карыстачоў 64-бітных сістэм – Trojan.HttpBlock мае магчымасць завяршаць працу як 32-бітных, так і 64-бітных працэсаў у 64-бітных версіях Windows. У апошніх мадыфікацыях Trojan.HttpBlock вірусастваральнікі шыфруюць некаторыя радкі, што абцяжарвае аналіз якія адпавядаюць шкоднасных файлаў. Распаўсюджваецца Trojan.HttpBlock у выглядзе дыстрыбутыва медыяплэера Fusion Media Player праз сайты з бясплатным кантэнтам, як правіла, якія прапануюць пірацкае праграмнае забеспячэнне. На такіх сайтах часта адчыняюцца дадатковыя ўсплывальныя вокны, некаторыя з якіх падобныя на сайты з ролікамі для дарослай аўдыторыі. Пры спробе прайграць любы з прапанаваных відэаролікаў прапаноўваецца запампаваць і ўсталяваць відэаплэер. Калі карыстач згаджаецца з гэтай прапановай, то загружаецца дыстрыбутыў у фармаце msi. Ён сапраўды ўтрымоўвае Fusion Media Player, але разам з плэерам усталёўваецца і траян. Шматлікія прымаюць рашэнне ўсталёўваць дадзены дыстрыбутыў менавіта з-за таго, што ў яго не exe-фармат, а msi, т.к. сярод карыстачоў існуе стэрэатып аб тым, што шкоднасныя праграмы могуць распаўсюджвацца толькі ў exe-фармаце. Той факт, што відэаплэер у сістэме ўсё жа ўсталёўваецца, зніжае верагоднасць таго, што карыстач звяжа заражэнне сістэмы з усталяваным плэерам. У большасці выпадкаў для лячэння сістэмы досыць вырабіць сканаванне з дапамогай бясплатнай якая лечыць утыліты Dr.Web CureIt! З пачатку распаўсюджвання Trojan.HttpBlock у вірусную базу Dr.Web было дададзена больш 30 мадыфікацый дадзенай шкоднаснай праграмы. Таксама была створаная запіс Trojan.HttpBlock.origin, выкарыстоўвалая тэхналогію Origins Tracing. Гэты запіс дазваляе вызначаць наяўнасць у сістэме невядомых мадыфікацый дадзенай шкоднаснай праграмы.
Блакавальнікі сайтаў распаўсюджваюцца разам з Fusion Media Player
15 кастрычніка 2010
Каментароў (0)