Новые информационные технологии и программное обеспечение
  RSS    

20231229 200x300 0d249f2d3676e05c1a28a375dff09c2a



Как заразить компьютер вирусом-трояном вымогателем денег и что нужно делать чтобы этого избежать

Ни для кого не секрет, что мошенники в последнее время промышляют "заработком на архивах". Наверняка многие уже сталкивались: ищете что-либо в сети, скачиваете (скачанный файл напоминает архив), пытаетесь распаковать, но "архив" требует ввести номер телефона, а затем подтвердить его. Тот, кто следит за новостями мира информационной безопасности, ничего нового для себя не открыл, скачав хоть раз такой файл. Антивирусные компании писали об этом не раз. Первым, кто предупредил пользователей о новой угрозе (а было это во второй половине 2010 года), была российская антивирусная компания "Доктор Веб".

 

Многое изменилось с тех пор. За эти 2 года появилось множество псевдо-файлообменников, раздающих эту заразу, да и сами "архивы" видоизменились. Неизменным осталось одно: жулики, как и раньше, стараются придать как можно больший вес контенту, выдавая его за легитимный файл. Говоря о весе, я имею ввиду не размер файла, измеряемый мегабайтами или даже гигабайтами, а его значимости. Злоумышленники стараются сделать все, чтобы жертва поверила в легенду. И у них это очень хорошо получается: пользователи ведутся на уловки жуликов, деньги "текут рекой", правоохранительные органы не беспокоят, что еще нужно?!

 

Так почему же у них все так хорошо и гладко получается? На самом деле все просто. Они стараются выдавать пользователю то, что ему на самом деле нужно, что он ищет, и что актуально в настоящий момент. Как они это делают, считаю, объяснять не нужно. Благодаря современным поисковым системам, сейчас легко можно смотреть на желания аудитории, что массовый пользователь ищет в сети и т.д. Следовательно - это можно ему и подсунуть, заработав на этом. О честности уже речи и не идет. Поэтому преступники стараются следить за новинками, новостями и настроениями аудитории, подсовывая им, как правило, пустышку, за которую пользователь при этом еще и платит.

 

Чтобы показать вам на примере, как это все происходит, давайте обратимся к последней громкой новости о выходе Dr.Web CureIt 7.0 beta. Об этом событии писали множество СМИ по информационной безопасности и велось немало обсуждений на тематических форумах. В свою очередь, я также делал обзор по этой утилите. Разумеется, многим захотелось попробовать эту новую версию в действии. Кто-то прочел об этом в новостях, до этого уже ознакомившись с предыдущими версиями сканера, а кто-то, к сожалению, столкнулся с вирусным заражением, и ему порекомендовали скачать бесплатную утилиту Dr.Web CureIt и проверить систему этим сканером. Так или иначе, пользователи в эти дни активно искали данную антивирусную утилиту седьмой версии. А популярностью она пользуется. Судя по данным Яндекса, только за месяц 235359 пользователей ищут эту утилиту по запросу "cureit", не говоря о других словосочетаниях. К примеру "web cureit" ищут 142394 пользователей.

Как вы видите, вещь весьма популярная. И злоумышленники активно это используют в своих корыстных целях.


В качестве эксперимента было решено создать ресурс, предлагающий нам скачать нелицензионное программное обеспечение. По счетчику  установленному на сайте видимо - за последние 24 часа на сайте побывало- 151 человек. Неплохо, правда?! И это только один ресурс. Ну да ладно. Кликаем по ссылке "Скачать"... и процесс скачивания начинается. Где-то на 90% скачивания, браузер Google Chrome предупреждает нас о том, что файл может представлять опасность для системы, предлагая нам воздержаться от продолжения его закачки в компьютер. 

 

6d7732c0276d571db3b8e3d6d12cae7d1

Сразу стоит отметить, что этот файл скачивался четырьмя наиболее популярными браузерами, и вот результаты (точнее предупреждения):

  • Google Chrome 19.0.1084.52 - возможная опасность
  • Mozilla Firefox 12.0 - успешно скачан
  • Opera 11.64 - успешно скачан
  • Internet Explorer 9.0.8112.16421 - возможная опасность

Как видите, браузер, которым вы пользуетесь, тоже играет не последнюю роль в обеспечении безопасности вашей операционной системы. Самое главное - регулярно следить за его обновлением.

Ну что же, успешно скачали файл, запускаем его на исполнение, и видим следующее.

592b271ebaeb2076267cadacd33f5fa21

Вы видите, что на пункте "Я согласен (на) с правилами" уже стоит галочка, хотя мы ее не ставили, и никаких правил, либо ссылки на них - не наблюдается. Это первый интересный факт. Нажимаем кнопку"продолжить", якобы для распаковки содержимого. Идет псевдо-распаковка, и на 96% у нас запрашивают номер мобильного телефона, якобы для проверки человек/робот.

Параллельно с этим срабатывает брандмауэр, оповещающий нас, что данный файл пытается что-то скачать из сети.

da05ca185661d0ca65d643cb6ffe171f1

Судя по приложению, это модуль Спутник Mail.ru. Вот только что общего имеет Mail.ru с мошенническим архивом - совсем непонятно. Как Вы видите, цифровые подписи имеются.

6b6a63f3ec4e905aed6cd3d74a66d7371

Но это еще не самое интересное. При открытии данного файла, который выдает себя за архив с полезным содержимым, происходит нечто совсем странное. Чтобы понять, что же происходит, давайте посмотрим на лог сетевого обмена.

0ae93ddb8bd3febd23de1758e92dbf581

В данном логе зафиксирована процедура входа на мошеннический сайт, скачивание файла, а также его дальнейший запуск. Но вот каким образом мошенники имеют дело с модулем Спутник Mail.ru, который подкачивается из сети, причем незаметно для пользователя, и меняет стартовые страницы во всех браузерах - лично мне непонятно.

Особое внимание прошу обратить на параметр "rfr=openpart", который фигурирует в некоторых ссылках. Дело в том, что этот же параметр имеет место быть в деятельности Trojan.DownLoader5.57322.

 

Интересно, не правда ли? Очень забавный параметр. Вот только вопрос: зачем это все?! К сожалению, загадака осталась неразгаданной, но вывод один: этот мошеннический сайт (а верней - то, что мы с него скачали) зачем-то устанавливает в систему Спутник Mail.Ru.

Да, и чуть не забыл, возвращаясь к нашему архиву: после того, как пользователь подтвердит номер телефона, который он указал выше, его счет опустеет на 200 рублей.  Именно столько стоит отправка сообщения на короткий номер 8404, который принадлежит преступникам.

91401137567b43ef93e5ec91a2e4d56f1

 

Это очередной наглядный пример того, что Trojan.SMSSend развивается и совершенствуется, как и любая угроза, приносящая немалые прибыли своим создателям. И хоть некоторые вопросы, поднятые мной, так и остались открытыми, я уверен, что совсем скоро все тайное станет явным, и вы узнаете о вымогателях семейства Trojan.SMSSend еще больше.

 

В дополнение статьи можно добавить очевидные, но, увы, не всегда выполняемые пользователями истины - 

  • посещение сомнительных ресурсов резко увеличивает вероятность подцепить вирус на компьютер
  • скачивание файла с сомнительного сайта формата doc, xls, pdf и ряда других увеличивает вероятность инфицирования вдвое
  • скачивание файла с сомнительного сайта формата exe - инфицирование вашего ПК гарантировано.

Как показывает практика нет универсальных антивирусных решений, можно лишь уменьшить вероятность заражения вашего ПК, используя последние версии рекомендуемых нами антивирусных решений - Drweb, Kaspersky, Comodo (как менее эффективное, но бесплатное решение для организаций). Также необходим жесткий контроль за портами USB и кардридера. Все присылаемые по почте сообщения с приложениями от незнакомых абонентов - сразу удаляйте не распаковывая. Получив сообщение с приложением от знакомого - сначала удостоверьтесь в том, что именно он послал это письмо, а не его инфицированный компьютер сам рассылает вирусы по контактному листу.

Ну и самое главное - аккуратнее с сайтами, не внушающими доверия, особенно предлагающими скачать без регистрации и рекламы что-то недоступное, но нужное. Запомните - если что то очень вкусно пахнет - на самом деле это отрава.

 

Поделиться:

 

 

Оставьте свой комментарий!

Комментарии  

 
+3 # Mae 25.06.2014 08:38
Вкратце - не ползать по каким попало сайтам. И пользоваться сканером.
Ответить
 
 
+1 # La_Muerte 09.05.2015 18:55
Знаю такие сайты...Очень много.
Ответить
 
 
0 # Nexellence 30.01.2019 22:00
вот ведь как оно однако
Ответить
 

Добавить комментарий


 

Самое читаемое:

Быстрый поиск

Инструкции к программам

Инструкции к программам

Сайт "Новые Информационные Технологии" содержит лишь справочные данные из открытых источников. Мы НЕ Рекламируем и НЕ Рекомендуем покупать или использовать ВСЕ упомянутые на сайте программы, оборудование и технологии