В Сети активизировался Trojan.Mayachok.1, блокирующий доступ в интернет

Вторник, 2 августа 2011 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщила об участившихся в последнее время случаях заражения персональных компьютеров вредоносной программой Trojan.Mayachok.1, которая крадет средства со счетов клиентов мобильных операторов, предлагая пользователям ответить на входящее SMS-сообщение.

В конце прошлой недели была зафиксирована волна заражений, в ходе которой пользователи неожиданно столкнулись с невозможностью выйти в интернет: вместо запрашиваемых ими сайтов в окне браузера демонстрировалось сообщение: «Канал вашего района перегружен, и мы вынуждены ограничить загрузку некоторых сайтов на время, пока канал не будет разгружен. […] Если работа в сети Интернет на текущий момент для вас критична, вы можете подключить резервный канал вашего района. Чтобы подтвердить намерение и крайнюю необходимость перейти на резервный канал, ответьте на входящее СМС-сообщение». Если пользователь следовал указаниям злоумышленников и вводил свой телефонный номер в соответствующую форму, а затем отвечал на входящее SMS, с его счета незамедлительно списывались средства.

Компанией «Доктор Веб» были также зафиксированы случаи блокировки доступа в интернет с подменой сайта «Ростелеком», однако этим аппетиты злоумышленников не ограничивались. Троян также может подменить страницы следующих интернет-ресурсов: youtube.com, vkontakte.ru, odnoklassniki.ru, support.akado.ru, my.mail.ru. Во всех случаях при попытке открыть в браузере какой-либо сайт Trojan.Mayachok.1 перенаправляет пользователя на заранее определенный URL, демонстрируя в окне браузера веб-страницу, предлагающую «активировать» или «подтвердить» аккаунт, указав свой номер телефона и ответив на входящее SMS-сообщение.

Один из подтвержденных методов распространения данной вредоносной программы — рассылка в социальной сети «ВКонтакте», рекламирующая программу для просмотра посещающих страницу пользователя гостей. В описании этой программы имеется ссылка, по которой и загружается Trojan.Mayachok.1. Запустившись на инфицированном компьютере, троян создает в папке system32 библиотеку с именем, сгенерированным на основе серийного номера текущего раздела жесткого диска, затем копирует себя во временную папку под именем flash_player_update.exe и начинает запускать этот файл с периодичностью в 10 секунд. Затем троян вносит изменения в системный реестр Windows и перезагружает компьютер. После этого Trojan.Mayachok.1 сохраняет в папку C:Documents and SettingsAll UsersApplication Datacf собственный конфигурационный файл, содержащий перечень блокируемых сайтов, адреса управляющих серверов и скрипты, которые встраиваются в запрашиваемые пользователем веб-страницы, сообщили в «Доктор Веб».

По информации компании, эта троянская программа распознается при сканировании дисков компьютера и потому не страшна пользователям антивируса Dr.Web и Dr.Web Security Space, а также Dr.Web Enterprise Security Suite и подписчикам услуги «Антивирус Dr.Web». При заражения компьютера этой вредоносной программой необходимо обновить вирусные базы и провести сканирование дисков. Кроме того, можно воспользоваться средством аварийного восстановления системы Dr.Web LiveCD или лечащей утилитой Dr.Web CureIt!.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 1749
Рубрика: Hi-Tech
(CY)

Архив новостей / Экспорт новостей

Ещё новости по теме:

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Архивы новостей за: 2018, 2017, 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003