- 5 лучших генераторов искусственного интеллекта для написания и переписывания любого контента
- Современные технологии в Национальной Баскетбольной Ассоциации
- История Красного Бора Татарстан (Новый Пьяный Бор Елабужского уезда) в статьях
- Программа для поиска драйверов на любое устройство
- Как технология OCR снижает нагрузку на офис
- Как операционная система Windows стала такой популярной
- Продвижение товаров на Wildberries с привлечением внешнего трафика
- Простая программа для управления проектами «Планамайзер»
Как заразить компьютер вирусом-трояном вымогателем денег и что нужно делать чтобы этого избежать |
Ни для кого не секрет, что мошенники в последнее время промышляют "заработком на архивах". Наверняка многие уже сталкивались: ищете что-либо в сети, скачиваете (скачанный файл напоминает архив), пытаетесь распаковать, но "архив" требует ввести номер телефона, а затем подтвердить его. Тот, кто следит за новостями мира информационной безопасности, ничего нового для себя не открыл, скачав хоть раз такой файл. Антивирусные компании писали об этом не раз. Первым, кто предупредил пользователей о новой угрозе (а было это во второй половине 2010 года), была российская антивирусная компания "Доктор Веб".Многое изменилось с тех пор. За эти 2 года появилось множество псевдо-файлообменников, раздающих эту заразу, да и сами "архивы" видоизменились. Неизменным осталось одно: жулики, как и раньше, стараются придать как можно больший вес контенту, выдавая его за легитимный файл. Говоря о весе, я имею ввиду не размер файла, измеряемый мегабайтами или даже гигабайтами, а его значимости. Злоумышленники стараются сделать все, чтобы жертва поверила в легенду. И у них это очень хорошо получается: пользователи ведутся на уловки жуликов, деньги "текут рекой", правоохранительные органы не беспокоят, что еще нужно?!
Так почему же у них все так хорошо и гладко получается? На самом деле все просто. Они стараются выдавать пользователю то, что ему на самом деле нужно, что он ищет, и что актуально в настоящий момент. Как они это делают, считаю, объяснять не нужно. Благодаря современным поисковым системам, сейчас легко можно смотреть на желания аудитории, что массовый пользователь ищет в сети и т.д. Следовательно - это можно ему и подсунуть, заработав на этом. О честности уже речи и не идет. Поэтому преступники стараются следить за новинками, новостями и настроениями аудитории, подсовывая им, как правило, пустышку, за которую пользователь при этом еще и платит.
Чтобы показать вам на примере, как это все происходит, давайте обратимся к последней громкой новости о выходе Dr.Web CureIt 7.0 beta. Об этом событии писали множество СМИ по информационной безопасности и велось немало обсуждений на тематических форумах. В свою очередь, я также делал обзор по этой утилите. Разумеется, многим захотелось попробовать эту новую версию в действии. Кто-то прочел об этом в новостях, до этого уже ознакомившись с предыдущими версиями сканера, а кто-то, к сожалению, столкнулся с вирусным заражением, и ему порекомендовали скачать бесплатную утилиту Dr.Web CureIt и проверить систему этим сканером. Так или иначе, пользователи в эти дни активно искали данную антивирусную утилиту седьмой версии. А популярностью она пользуется. Судя по данным Яндекса, только за месяц 235359 пользователей ищут эту утилиту по запросу "cureit", не говоря о других словосочетаниях. К примеру "web cureit" ищут 142394 пользователей. Как вы видите, вещь весьма популярная. И злоумышленники активно это используют в своих корыстных целях.
Сразу стоит отметить, что этот файл скачивался четырьмя наиболее популярными браузерами, и вот результаты (точнее предупреждения):
Как видите, браузер, которым вы пользуетесь, тоже играет не последнюю роль в обеспечении безопасности вашей операционной системы. Самое главное - регулярно следить за его обновлением. Ну что же, успешно скачали файл, запускаем его на исполнение, и видим следующее.
Вы видите, что на пункте "Я согласен (на) с правилами" уже стоит галочка, хотя мы ее не ставили, и никаких правил, либо ссылки на них - не наблюдается. Это первый интересный факт. Нажимаем кнопку"продолжить", якобы для распаковки содержимого. Идет псевдо-распаковка, и на 96% у нас запрашивают номер мобильного телефона, якобы для проверки человек/робот. Параллельно с этим срабатывает брандмауэр, оповещающий нас, что данный файл пытается что-то скачать из сети. Судя по приложению, это модуль Спутник Mail.ru. Вот только что общего имеет Mail.ru с мошенническим архивом - совсем непонятно. Как Вы видите, цифровые подписи имеются. Но это еще не самое интересное. При открытии данного файла, который выдает себя за архив с полезным содержимым, происходит нечто совсем странное. Чтобы понять, что же происходит, давайте посмотрим на лог сетевого обмена. В данном логе зафиксирована процедура входа на мошеннический сайт, скачивание файла, а также его дальнейший запуск. Но вот каким образом мошенники имеют дело с модулем Спутник Mail.ru, который подкачивается из сети, причем незаметно для пользователя, и меняет стартовые страницы во всех браузерах - лично мне непонятно. Особое внимание прошу обратить на параметр "rfr=openpart", который фигурирует в некоторых ссылках. Дело в том, что этот же параметр имеет место быть в деятельности Trojan.DownLoader5.57322.
Интересно, не правда ли? Очень забавный параметр. Вот только вопрос: зачем это все?! К сожалению, загадака осталась неразгаданной, но вывод один: этот мошеннический сайт (а верней - то, что мы с него скачали) зачем-то устанавливает в систему Спутник Mail.Ru. Да, и чуть не забыл, возвращаясь к нашему архиву: после того, как пользователь подтвердит номер телефона, который он указал выше, его счет опустеет на 200 рублей. Именно столько стоит отправка сообщения на короткий номер 8404, который принадлежит преступникам.
Это очередной наглядный пример того, что Trojan.SMSSend развивается и совершенствуется, как и любая угроза, приносящая немалые прибыли своим создателям. И хоть некоторые вопросы, поднятые мной, так и остались открытыми, я уверен, что совсем скоро все тайное станет явным, и вы узнаете о вымогателях семейства Trojan.SMSSend еще больше.
В дополнение статьи можно добавить очевидные, но, увы, не всегда выполняемые пользователями истины -
Как показывает практика нет универсальных антивирусных решений, можно лишь уменьшить вероятность заражения вашего ПК, используя последние версии рекомендуемых нами антивирусных решений - Drweb, Kaspersky, Comodo (как менее эффективное, но бесплатное решение для организаций). Также необходим жесткий контроль за портами USB и кардридера. Все присылаемые по почте сообщения с приложениями от незнакомых абонентов - сразу удаляйте не распаковывая. Получив сообщение с приложением от знакомого - сначала удостоверьтесь в том, что именно он послал это письмо, а не его инфицированный компьютер сам рассылает вирусы по контактному листу. Ну и самое главное - аккуратнее с сайтами, не внушающими доверия, особенно предлагающими скачать без регистрации и рекламы что-то недоступное, но нужное. Запомните - если что то очень вкусно пахнет - на самом деле это отрава.
Поделиться:
Оставьте свой комментарий! Tags:
Похожие статьи: |
Комментарии