В Сети активизировался Trojan.Mayachok.1, блокирующий доступ в интернет
Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщила об участившихся в последнее время случаях заражения персональных компьютеров вредоносной программой Trojan.Mayachok.1, которая крадет средства со счетов клиентов мобильных операторов, предлагая пользователям ответить на входящее SMS-сообщение.
В конце прошлой недели была зафиксирована волна заражений, в ходе которой пользователи неожиданно столкнулись с невозможностью выйти в интернет: вместо запрашиваемых ими сайтов в окне браузера демонстрировалось сообщение: «Канал вашего района перегружен, и мы вынуждены ограничить загрузку некоторых сайтов на время, пока канал не будет разгружен. […] Если работа в сети Интернет на текущий момент для вас критична, вы можете подключить резервный канал вашего района. Чтобы подтвердить намерение и крайнюю необходимость перейти на резервный канал, ответьте на входящее СМС-сообщение». Если пользователь следовал указаниям злоумышленников и вводил свой телефонный номер в соответствующую форму, а затем отвечал на входящее SMS, с его счета незамедлительно списывались средства.
Компанией «Доктор Веб» были также зафиксированы случаи блокировки доступа в интернет с подменой сайта «Ростелеком», однако этим аппетиты злоумышленников не ограничивались. Троян также может подменить страницы следующих интернет-ресурсов: youtube.com, vkontakte.ru, odnoklassniki.ru, support.akado.ru, my.mail.ru. Во всех случаях при попытке открыть в браузере какой-либо сайт Trojan.Mayachok.1 перенаправляет пользователя на заранее определенный URL, демонстрируя в окне браузера веб-страницу, предлагающую «активировать» или «подтвердить» аккаунт, указав свой номер телефона и ответив на входящее SMS-сообщение.
Один из подтвержденных методов распространения данной вредоносной программы — рассылка в социальной сети «ВКонтакте», рекламирующая программу для просмотра посещающих страницу пользователя гостей. В описании этой программы имеется ссылка, по которой и загружается Trojan.Mayachok.1. Запустившись на инфицированном компьютере, троян создает в папке system32 библиотеку с именем, сгенерированным на основе серийного номера текущего раздела жесткого диска, затем копирует себя во временную папку под именем flash_player_update.exe и начинает запускать этот файл с периодичностью в 10 секунд. Затем троян вносит изменения в системный реестр Windows и перезагружает компьютер. После этого Trojan.Mayachok.1 сохраняет в папку C:Documents and SettingsAll UsersApplication Datacf собственный конфигурационный файл, содержащий перечень блокируемых сайтов, адреса управляющих серверов и скрипты, которые встраиваются в запрашиваемые пользователем веб-страницы, сообщили в «Доктор Веб».
По информации компании, эта троянская программа распознается при сканировании дисков компьютера и потому не страшна пользователям антивируса Dr.Web и Dr.Web Security Space, а также Dr.Web Enterprise Security Suite и подписчикам услуги «Антивирус Dr.Web». При заражения компьютера этой вредоносной программой необходимо обновить вирусные базы и провести сканирование дисков. Кроме того, можно воспользоваться средством аварийного восстановления системы Dr.Web LiveCD или лечащей утилитой Dr.Web CureIt!.
В конце прошлой недели была зафиксирована волна заражений, в ходе которой пользователи неожиданно столкнулись с невозможностью выйти в интернет: вместо запрашиваемых ими сайтов в окне браузера демонстрировалось сообщение: «Канал вашего района перегружен, и мы вынуждены ограничить загрузку некоторых сайтов на время, пока канал не будет разгружен. […] Если работа в сети Интернет на текущий момент для вас критична, вы можете подключить резервный канал вашего района. Чтобы подтвердить намерение и крайнюю необходимость перейти на резервный канал, ответьте на входящее СМС-сообщение». Если пользователь следовал указаниям злоумышленников и вводил свой телефонный номер в соответствующую форму, а затем отвечал на входящее SMS, с его счета незамедлительно списывались средства.
Компанией «Доктор Веб» были также зафиксированы случаи блокировки доступа в интернет с подменой сайта «Ростелеком», однако этим аппетиты злоумышленников не ограничивались. Троян также может подменить страницы следующих интернет-ресурсов: youtube.com, vkontakte.ru, odnoklassniki.ru, support.akado.ru, my.mail.ru. Во всех случаях при попытке открыть в браузере какой-либо сайт Trojan.Mayachok.1 перенаправляет пользователя на заранее определенный URL, демонстрируя в окне браузера веб-страницу, предлагающую «активировать» или «подтвердить» аккаунт, указав свой номер телефона и ответив на входящее SMS-сообщение.
Один из подтвержденных методов распространения данной вредоносной программы — рассылка в социальной сети «ВКонтакте», рекламирующая программу для просмотра посещающих страницу пользователя гостей. В описании этой программы имеется ссылка, по которой и загружается Trojan.Mayachok.1. Запустившись на инфицированном компьютере, троян создает в папке system32 библиотеку с именем, сгенерированным на основе серийного номера текущего раздела жесткого диска, затем копирует себя во временную папку под именем flash_player_update.exe и начинает запускать этот файл с периодичностью в 10 секунд. Затем троян вносит изменения в системный реестр Windows и перезагружает компьютер. После этого Trojan.Mayachok.1 сохраняет в папку C:Documents and SettingsAll UsersApplication Datacf собственный конфигурационный файл, содержащий перечень блокируемых сайтов, адреса управляющих серверов и скрипты, которые встраиваются в запрашиваемые пользователем веб-страницы, сообщили в «Доктор Веб».
По информации компании, эта троянская программа распознается при сканировании дисков компьютера и потому не страшна пользователям антивируса Dr.Web и Dr.Web Security Space, а также Dr.Web Enterprise Security Suite и подписчикам услуги «Антивирус Dr.Web». При заражения компьютера этой вредоносной программой необходимо обновить вирусные базы и провести сканирование дисков. Кроме того, можно воспользоваться средством аварийного восстановления системы Dr.Web LiveCD или лечащей утилитой Dr.Web CureIt!.
Ещё новости по теме:
18:20