Загрузка...
Создать учётную запись

18 авг

Троян, направленный на пользователей соцсети «Вконтакте», распространялся при помощи латиноамериканских сайтов

1084 просмотры

На днях ESET обнародовала новые сведения о трояне Win32/Bicololo, направленном против пользователей отечественных социальных сетей.


Стоит напомнить, название Win32/Bicololo.A носит троян, чья цель - кража личных данных интернет-пользователей. Такая угроза распространяется, будучи замаскированной под ссылки на графические файлы, имеющие расширение .jpg. Когда происходит активация подобной ссылки, на ПК интернет-пользователя загружается не изображение, а вредоносное ПО.


Попадая на компьютер, вредонесущая программа приступает к модификации системного файла hosts, дабы при попытке человека зайти на тот или иной легальный сайт, тайком перенаправлять его на сгенерированную страницу, которая принадлежит злоумышленникам. Любая информация, которая вводится пользователем на странице такого рода, автоматически оказывается у злоумышленников.


В hosts - файле, модифицированном Win32/Bicololo, были выявлены ссылки на порталы «Вконтакте» и «Одноклассники», а кроме того, на ресурс Mail.ru – иначе говоря, угроза нацеливалась именно на пользователей данных сайтов.


Надо отметить, что, несмотря на то, что видоизмененный hosts содержит веб - адреса мобильных сайтовых версий (m.vk.com, m.ok.ru и др.), вирус Win32/Bicololo на мобильные платформы не распространяется и рассчитан исключительно на семейство ОС Windows.


Экспертами ESET были обнаружены образцы описываемой ими модификации Bicololo в 4-рех разных странах в один день: Аргентине, Колумбии, Бразилии и Чили. По этой причине сначала предполагалось, что данная угроза латиноамериканского происхождения.


Однако после проведения детального анализа угрозы стало ясно, что корни у неё российские: код Win32/Bicololo содержит комментарии, сделанные на русском языке. Помимо того, в одном из множества файлов, создаваемых вредонесущей программой, обнаружилась фраза «стою у трапа самолета». Данная строка принадлежит известной в прошлом песне «Аэропорт» 1987-мого года, исполняемой Александром Барыкиным.


Согласно данным, полученным экспертами ESET, ресурсы с доменами .br, .cl, .ar и .co, использовавшиеся для размещения злонамеренного ПО, являются совершенно легальными ресурсами. Их специально заразили программами-взломщиками в целях распространения указанной модификации Win32/Bicololo. Вероятнее всего, данные сайты злоумышленниками были обнаружены при помощи автоматического сканирования на поиск уязвимостей.


Помимо того, в собственной схеме кибератаки преступниками использовалось два сервера. Один из них служил для размещения фальшивых аналогов главных страниц «Одноклассники», «Вконтакте» и Mail.ru, 2-рой же использовался для осуществления связи с вредонесущей программой. Данные сервера могли арендоваться или быть взломанными киберпреступниками. Если судить по их IP-адресам, расположены они за границами Латинской Америки.


В 2013-тьем году семейство Win32/Bicololo постоянно попадает в рейтинг самых распространенных на российской территории вредоносных программ, который ежемесячно составляется аналитиками ESET.


Стоит сказать, различные модификации этого вируса могут распространяться самыми разными способами, будучи замаскированными под легальные файлы или приложения. ESET рекомендует пользователям соблюдать максимум осторожности, не открывать сомнительные ссылки в посторонних сообщениях и никогда не отключать установленное на ПК антивирусное ПО.

 
Источник: www.esetnod32.ru
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.