Як заразити комп'ютер вірусом-трояном здирником грошей і що потрібно робити щоб цього уникнути

Багато що змінилося з тих пір. За ці 2 роки з'явилося безліч псевдо-файлообмінників, роздають цю заразу, та й самі "архіви" видозмінилися. Незмінним залишилося одне: шахраї, як і раніше, намагаються надати якомога більшу вагу контенту, видаючи його за легітимний файл. Говорячи про вагу, я маю на увазі не розмір файлу, вимірюваний мегабайтами або навіть гігабайтами, а його значущості. Зловмисники намагаються зробити все, щоб жертва повірила в легенду. І у них це дуже добре виходить: користувачі ведуться на виверти шахраїв, гроші "течуть рікою", правоохоронні органи не турбують, що ще потрібно ?!

Так чому ж у них все так добре і гладко виходить? Насправді все просто. Вони намагаються видавати користувачу то, що йому насправді потрібно, що він шукає, і що актуально зараз. Як вони це роблять, вважаю, пояснювати не потрібно. Завдяки сучасним пошуковим системам, зараз легко можна дивитися на бажання аудиторії, що масовий користувач шукає в мережі і т.д. Отже - це можна йому і підсунути, заробивши на цьому. Про чесність вже мови і не йде. Тому злочинці намагаються стежити за новинками, новинами і настроями аудиторії, підсовуючи їм, як правило, пустушку, за яку користувач при цьому ще й платить.

Щоб показати вам на прикладі, як це все відбувається, давайте звернемося до останньої гучної новини про вихід Dr.Web CureIt 7.0 beta. Про цю подію писали безліч ЗМІ з інформаційної безпеки і велося чимало обговорень на тематичних форумах. У свою чергу, я також робив огляд по цій утиліті. Зрозуміло, багатьом захотілося спробувати цю нову версію в дії. Хтось прочитав про це в новинах, до цього вже ознайомившись з попередніми версіями сканера, а хтось, на жаль, зіткнувся з вірусним зараженням, і йому порекомендували завантажити безкоштовну утиліту Dr.Web CureIt і перевірити систему цим сканером. Так чи інакше, користувачі в ці дні активно шукали дану антивірусну утиліту сьомій версії. А популярністю вона користується. Судячи за даними Яндекса, тільки за місяць 235 359 користувачів шукають цю утиліту за запитом "cureit", не кажучи про інші словосполученнях. Наприклад "web cureit" шукають 142394 користувачів.

Як ви бачите, річ вельми популярна. І зловмисники активно це використовують в своїх корисливих цілях.

В якості експерименту було вирішено створити ресурс, що пропонує нам завантажити неліцензійне програмне забезпечення. По лічильнику встановленому на сайті мабуть - за останні 24 години на сайті побивало- 151 чоловік. Непогано, правда ?! І це тільки один ресурс. Ну да ладно. Кількома за посиланням "Завантажити" ... і процес скачування починається. Десь на 90% завантажень, браузер Google Chrome попереджає нас про те, що файл може становити небезпеку для системи, пропонуючи нам утриматися від продовження його закачування в комп'ютер.

Відразу варто відзначити, що цей файл скачували чотирма найбільш популярними браузерами, і ось результати (точніше попередження):

• Google Chrome 19.0.1084.52 - можлива небезпека
• Mozilla Firefox 12.0 - успішно викачаний
• Opera 11.64 - успішно викачаний
• Internet Explorer 9.0.8112.16421 - можлива небезпека

Як бачите, браузер, яким ви користуєтеся, теж грає не останню роль в забезпеченні безпеки вашої операційної системи. Найголовніше - регулярно стежити за його оновленням.

Ну що ж, успішно завантажили файл, запускаємо його на виконання, і бачимо наступне.

Ви бачите, що на пункті "Я згоден (на) з правилами" вже стоїть галочка, хоча ми її не ставили, і ніяких правил, або посилання на них - не спостерігається. Це перший цікавий факт. Натискаємо кнопку "продовжити", нібито для розпакування вмісту. Йде псевдо-розпакування, і на 96% у нас запитують номер мобільного телефону , Нібито для перевірки осіб / робот.

Паралельно з цим спрацьовує брандмауер, що сповіщає нас, що даний файл намагається щось скачати з мережі.

Судячи з додатком, це модуль Супутник Mail.ru. Ось тільки що спільного має Mail.ru з шахрайським архівом - зовсім незрозуміло. Як Ви бачите, цифрові підписи є.

Але це ще не найцікавіше. При відкритті даного файлу, який видає себе за архів з корисним вмістом, відбувається щось зовсім дивне. Щоб зрозуміти, що ж відбувається, давайте подивимося на лог мережевого обміну.

В даному балці зафіксована процедура входу на шахрайський сайт, скачування файлу, а також його подальший запуск. Але ось яким чином шахраї мають справу з модулем Супутник Mail.ru, який підкачуються з мережі, причому непомітно для користувача, і змінює стартові сторінки у всіх браузерах - особисто мені незрозуміло.

Особливу увагу прошу звернути на параметр "rfr = openpart", який фігурує в деяких посиланнях. Справа в тому, що цей же параметр має місце бути в діяльності Trojan.DownLoader5.57322.

Цікаво, чи не так? Дуже забавний параметр. Ось тільки питання: навіщо це все ?! На жаль, загадака залишилася нерозгаданою, але висновок один: цей шахрайський сайт (а вірніше - то, що ми з нього викачали) для чогось встановлює в систему Супутник Mail.Ru.

Так, і мало не забув, повертаючись до на шему архіву: після того, як користувач підтвердить номер телефону, який він вказав вище, його рахунок спорожніє на 200 рублів. Саме стільки коштує відправка повідомлення на короткий номер 8404, який належить злочинцям.

Це черговий наочний приклад того, що Trojan.SMSSend розвивається і вдосконалюється, як і будь-яка загроза, що приносить чималі прибутки своїм творцям. І хоч деякі питання, підняті мною, так і залишилися відкритими, я впевнений, що зовсім скоро все таємне стане явним, і ви дізнаєтеся про здирників сімейства Trojan.SMSSend ще більше.

На додаток статті можна додати очевидні, але, на жаль, не завжди виконуються користувачами істини -

• відвідування сумнівних ресурсів різко збільшує ймовірність підчепити вірус на комп'ютер
• скачування файлу з сумнівного сайту формату doc, xls, pdf і ряду інших збільшує ймовірність інфікування вдвічі
• скачування файлу з сумнівного сайту формату exe - інфікування вашого ПК гарантовано.

Як показує практика немає універсальних антивірусних рішень, можна лише зменшити ймовірність зараження вашого ПК, використовуючи останні версії рекомендованих нами антивірусних рішень - Drweb , Kaspersky, Comodo (як менш ефективне, але безкоштовне рішення для організацій). Також необхідний жорсткий контроль за портами USB і кардридера. Все що надсилаються поштою повідомлення з додатками від незнайомих абонентів - відразу видаляти не розпаковуючи. Отримавши повідомлення з додатком від знайомого - спочатку переконайтеся в тому, що саме він послав цей лист, а не його інфікований комп'ютер сам розсилає віруси за контактним листу.

Ну і найголовніше - акуратніше з сайтами, які не вселяють довіри, особливо пропонують скачати без реєстрації та реклами щось незрозуміле, але потрібне. Запам'ятайте - якщо що то дуже смачно пахне - насправді це отрута.

Поділитися:

Залиште свій коментар!

Додати коментар