Поисковые системы подсовывают "лишние" страницы
Компания "Доктор Веб" сообщила, что в январе 2012 года в ее антивирусной лаборатории зафиксировано несколько интересных образцов вредоносных программ, в частности, новые банковские троянцы.
Образец очередной модификации программы Trojan.PWS.Ibank отвечает современным тенденциям использования систем ДБО. Вредонос позволяет передавать злоумышленникам аутентификационные данные, ключи и сведения о конфигурации множества различных банк-клиентов. Особенность модификации заключается в том, что она содержит в себе реализацию VNC-сервера. В коде сервера организована поддержка протокола работы с dedicated-сервером Zeus, через который и осуществляется сеанс удаленного управления. Троянец имеет достаточно сложную архитектуру и позволяет выполнять на инфицированной машине различные команды, поступающие от удаленного центра, в том числе уничтожение операционной системы.
С помощью другой вредоносной программы - Trojan.Hosts.5590 - злоумышленники планировали провести фишинговую атаку на клиентов одного из российских банков. Попадая на компьютер, вирус создает новый процесс explorer.exe и помещает туда собственный код, а затем прописывает себя в папке автоматического запуска приложений под именем Eldesoft.exe. Если для доступа к сайту банка используется браузер Microsoft Internet Explorer, троянец вызывает стандартную функцию crypt32.dll для установки поддельного сертификата. При добавлении сертификата в хранилище операционная система обычно демонстрирует соответствующее предупреждение: троянец перехватывает и закрывает это окно. Если используется другой браузер, для установки сертификата применяются функции из стандартной библиотеки nss3.dll. Связавшись с удаленным командным центром, Trojan.Hosts.5590 получает оттуда конфигурационный файл, содержащий IP-адрес фишингового сервера и имена доменов, которые троянец должен подменять. Впоследствии, при обращении к сайту системы банк-клиент по протоколу HTTPS, пользователю будет демонстрироваться поддельная веб-страница, а введенные им в форме авторизации учетные данные будут переданы злоумышленникам.
Среди вредоносных программ, обнаруженных в январе на компьютерах пользователей при помощи Dr.Web CureIt!, лидирующие позиции занял файловый инфектор Win32.Expiro.23 (19,23% случаев обнаружения), при запуске пытающийся повысить собственные привилегии в системе, отыскивающий запущенные службы и заражающий соответствующие им исполняемые файлы. Чуть менее популярен - Win32.Rmnet.8 (8,86%), проникающий на компьютер посредством зараженных флеш-накопителей или при запуске инфицированных исполняемых файлов, и обладающий способностью к саморепликации. Файловый вирус Win32.Rmnet крадет пароли от популярных ftp-клиентов, таких как Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP. Эта информация впоследствии может быть использована злоумышленниками для реализации сетевых атак или для размещения на удаленных серверах различных вредоносных объектов. Нередко встречаются на инфицированных компьютерах и троянцы Trojan.WMALoader и Trojan.Inor.
Специалисты также отметили, что в январе на 25% сократилось число обращений в службу технической поддержки со стороны пользователей, пострадавших от действий программ-блокировщиков. Связано это как с уменьшением числа самих приложений-вымогателей, так и с недавно состоявшимся запуском нового портала drweb.com/xperf/unlocker, позволяющего подобрать код для разблокировки компьютеров, инфицированных троянцем семейства Trojan.Winlock.
Пользователей "В Контакте" злоумышленники вновь не обошли стороной. В январе их внимание было обращено на владельцев мобильных телефонов с поддержкой Java. После новогодних праздников участились случаи массового распространения спама в использующих протокол ICQ клиентах для обмена сообщениями. Злоумышленники предлагают скачать приложение для мобильного телефона, якобы являющееся клиентом для социальной сети. В рассылке сообщается, что с помощью данной программы можно с большим комфортом пользоваться возможностями ресурса. Программа представляет собой файл в формате .jar, способный запуститься практически на любом мобильном устройстве с поддержкой Java. В процессе установки приложение отсылает SMS-сообщение на один из платных номеров и просит пользователя ввести в соответствующей форме на сайте преступников полученный в ответном SMS код. Таким образом пользователь соглашается стать подписчиком некой услуги, за использование которой с его счета мобильного оператора будет ежемесячно списываться определенная сумма.
Также в прошлом месяце сетевые мошенники обратили внимание на формат выдачи ссылок поисковыми системами: пользователь нередко выполняет сразу несколько обращений к таким системам, открывая в новых вкладках или окнах браузера отдельные страницы отчета, содержащие найденные в индексе ссылки. Именно эти страницы и подделывают мошенники, надеясь на то, что в суматохе пользователь не заметит "лишнюю". Переход по ссылкам уже с этой страницы может привести потенциальную жертву на мошеннический сайт или ресурс, распространяющий вредоносное ПО.
© @Astera
