Subscribe feed

Разам з Fusion Media Player распаўсюджваюцца блакавальнікі сайтаў

19 кастрычніка 2010

Кампанія «Доктар Вэб» паведамляе аб шырокім распаўсюджванні шкоднасных праграм сямейства Trojan.HttpBlock, якія за ўзнаўленне доступу да папулярных інтэрнэт-рэсурсам патрабуюць адправіць платнае СМС-паведамленне на кароткі нумар 6681.

Пачатак распаўсюджванні траянцаў сямейства Trojan.HttpBlock было зафіксавана 22 верасня 2010 гады. Заражаючы кампутар, гэтыя шкоднасныя праграмы мадыфікуюць сістэмны файл hosts і тым самым блакуюць доступ да папулярных сайтаў.

Trojan.HttpBlock з'яўляецца новым вітком развіцця траянцаў, якія выкарыстаюць інтэрнэт-ашуканцы. Ён улічвае і абыходзіць складанасці, з якімі зламыснікі сутыкаліся раней.

У адрозненне ад траянцаў сямейства Trojan.Hosts, якія таксама блакуюць доступ да папулярных інтэрнэт-рэсурсам, перанакіроўваючы браўзэр на шкоднасныя сайты, Trojan.HttpBlock перанакіроўвае карыстача на вэб-сервер, усталёўваны на яго жа кампутары.

Такім чынам зламыснікі значна спрашчаюць сабе задачу. На самай справе, аўтарам Trojan.HttpBlock не трэба стала шукаць новы хостынг для старонак. Таксама няма неабходнасці маскіраваць старонку пад дызайн даверанага сайта, каб усыпіць пільнасць карыстача. Trojan.HttpBlock выводзіць у інтэрнэт-браўзэры тэкставую старонку, на якой паведамляецца, што доступ у Інтэрнэт быў заблакаваны за наведванне сайтаў дарослай тэматыкі, і для яго ўзнаўлення неабходна адправіць платнае СМС-паведамленне на кароткі нумар 6681.

Таксама ўзнікаюць складанасці пры спробе скарыстацца ўтылітамі для аналізу заражанай сістэмы: траянец завяршае працу некаторых небяспечных для сябе працэсаў у адпаведнасці са спісам, складзеным аўтарамі праграмы. Пры гэтым траянец разлічаны і на карыстачоў 64-бітных сістэм – Trojan.HttpBlock мае магчымасць завяршаць працу як 32-бітных, так і 64-бітных працэсаў у 64-бітных версіях Windows.

У апошніх мадыфікацыях Trojan.HttpBlock вірусастваральнікі шыфруюць некаторыя радкі, што абцяжарвае аналіз якія адпавядаюць шкоднасных файлаў.

Распаўсюджваецца Trojan.HttpBlock у выглядзе дыстрыбутыва медыяплэера Fusion Media Player праз сайты з бясплатным кантэнтам, як правіла, якія прапануюць пірацкае праграмнае забеспячэнне. На такіх сайтах часта адчыняюцца дадатковыя ўсплывальныя вокны, некаторыя з якіх падобныя на сайты з ролікамі для дарослай аўдыторыі. Пры спробе прайграць любы з прапанаваных відэаролікаў прапаноўваецца запампаваць і ўсталяваць відэаплэер.

Разам з Fusion Media Player распаўсюджваюцца блакавальнікі сайтаў

Калі карыстач згаджаецца з гэтай прапановай, то загружаецца дыстрыбутыў у фармаце msi. Ён сапраўды ўтрымоўвае Fusion Media Player, але разам з плэерам усталёўваецца і траянец. Шматлікія прымаюць рашэнне ўсталёўваць дадзены дыстрыбутыў менавіта з-за таго, што ў яго не exe-фармат, а msi, т. к. сярод карыстачоў існуе стэрэатып аб тым, што шкоднасныя праграмы могуць распаўсюджвацца толькі ў exe-фармаце. Той факт, што відэаплэер у сістэме ўсё жа ўсталёўваецца, зніжае верагоднасць таго, што карыстач звяжа заражэнне сістэмы з усталяваным плэерам.

У большасці выпадкаў для лячэння сістэмы досыць вырабіць сканаванне з дапамогай бясплатнай якая лечыць утыліты Dr.Web CureIt!

Тэгі: Траян, Dr.Web


рэкамендуем прачытаць таксама

Каментаванне не дазволенае.

Rambler's Top100