пятница, 12 июня 2009 г.

Алчный Trojan.Hosts.75 чистит ваши карманы ВКонтакте

В начале июня появилась одна из модификаций троянов-вымогателей Trojan.Hosts. Зловредная программа "Trojan.Hosts.75" вымогает деньги у зараженных пользователей социальной сети "В Контакте", уводя их на "подставной" сайт.

Image and video hosting by TinyPic

"Trojan.Hosts.75" перенаправляет пользователя на фишинговую страницу, которая внешне выглядит точно также, как настоящий "В Контакте".

А там, якобы от лица администрации сайта, доверчивому пользователю сообщается, что отныне каждая анкета должна быть активирована при помощи платного SMS, "в связи с многочисленными регистрациями анонимных анкет и увеличением уровня спам-рассылок". В частности, российским "контактерам" предлагают отправить сообщение на номер 3354 или 3353, сообщает сайт компании Doctor Web. В случае заражения, специалисты из "Доктор Веб" рекомендует воспользоваться бесплатной утилитой Dr.Web CureIt. Они также утверждают, что для пользователей, защищенных антивирусными решениями компании, новый троян угрозы не представляет.

Суть работы этого трояна в следующем - на зараженном компьютере он распаковывает на диск bat-файл, который изменяет системный файл hosts, система Windows хранит такой файл в каталоге C:\WINDOWS\system32\drivers\etc\ (его можно отредактировать в "Блокноте").
Этот файл содержит сопоставления IP-адресов сайтов их доменным именам. После изменения, файл выглядит следующим образом:
Image and video hosting by TinyPic

Злоумышленники-авторы трояна сопоставляют на зараженных компьютерах IP-адрес своего фишингового сайта (на сервере http://211.xx.xx.xx/index.html) с наиболее популярными сайтами в русскоязычной сети, в том числе с сайтами "В контакте", "Одноклассники", "Яндекс" и другими.
Таким образом, набирая в адресной строке, например, "vkontakte.ru" или "mail.ru", пользователь, у которого троян изменил hosts, попадает на сайт мошенников, внешне копирующий часть страниц этих известных сайтов.

Как бороться?
Если у вас завелся такой маленький ворик в компьютере, воспользуйтесь оффициальными рекоммендациями с сайта «В Контакте»:

  1. Найдите следующий файл на вашем жестком диске:
C:\WINDOWS\system32\drivers\etc\hosts

  1. Откройте файл для проверки с помощью блокнота (Notepad).
  2. Eсли вы видите в тексте файла упоминания о ВКонтакте (vkontakte.ru), немедленно удалите эти строки.

Источник и Дополнительная Информация:

Комментариев нет:

Отправить комментарий