Атака на сайты российских хостеров и другие вирусные события октября
Недавно на официальном сайте компании «Доктор Веб» стал доступен отчет о вирусной активности за октябрь текущего года. Как многие заметили, прошедший месяц характеризовался повышенной активностью мошенников, которые использовали в своих целях технологии фишинга. Впрочем, не менее часто использовались методы социальной инженерии. Главными целями злоумышленников чаще всего оказывались пользователи популярной социальной сети «ВКонтакте» и различные сайты, расположенные на российских хостинг-провайдерах.
В основном были атакованы пользователи компаний SpaceWeb, «Петерхост» и FirstVDS, к которым позже присоединились провайдеры Agava и Timeweb. Во всех перечисленных случаях мошенники действовали одинаково. С помощью общедоступной службы WHOIS они определяли веб-сайты, которые размещаются у данного хостинг-провайдера, после чего таким же образом вычисляли адрес электронной почты владельцев ресурса. На полученный адрес от имени администрации провайдера отправлялось письмо. Например, пользователям FirstVDS и SpaceWeb сообщалось, что их сайт превысил пределы нагрузки текущего тарифного плана. Письмо содержало ссылку на фальшивую веб-страницу, полностью копирующую внешний вид официального сайта провайдера. URL поддельного сайта частично совпадал с URL официального ресурса, но размещался на ином домене. В случае, если жертва все же вводила учетные данные от своего аккаунта, он автоматически переходил в руки мошенников.
Из вирусов, касающихся обычных пользователей, можно отметить трояна Win32.HLLM.MailSpamer. Чаще всего он распространяется через e-mail при помощи писем, содержащих вредоносную ссылку. Эти письма практически всегда имеют тему «Re: С проекта Ответы@Mail.Ru» и включают в себя какой-либо вариант ответа (вроде «а самому было лень поискать?» или же «я почему-то сразу нагуглил»). В тексте письма находиться ссылка на скачивание RAR-архива. Внутри данного архива находиться файлы setup.exe и документ под названием Readme.doc. В случае запуска setup.exe появляется стандартное окошко инсталлятора. Далее программа запускает файл Readme.doc, который и содержит в себе зашифрованный троян. Работая, Win32.HLLM.MailSpamer связывается с сервером злоумышленников, получает оттуда настройки и начинает рассылку сообщений.
Примерно тогда же была обнаружена новая программа-вымогатель, получившая название Trojan.MBRlock.16. Она, в отличие от других таких программ, не содержит в себе необходимого для разблокировки кода, а генерирует его в зависимости от конфигурации компьютера.
Нужно отметить, что в прошлом месяце был обнаружен еще один любопытный троян под названием Trojan.SkynetRef.1. Этот троян представляет из себя локальный http прокси сервер, успешно подменяющий веб-страницы в браузерах. Чтобы распространить свое творение, мошенники создали ряд полноценных сайтов, на которых и происходит заражение. Среди них стоит выделить: operadownload.info, downloadflashplayer.biz, downloadutorrent.info, а также портал fvsn.org.
При скачивании какого-либо приложения с данных сайтов пользователь получает специальную программу-установщика. При ее запуске действительно происходит установка выбранного приложения, но вместе с ним устанавливается и Trojan.SkynetRef.1. Как уже отмечалось, данный троян может подменять веб-страницы в браузерах, причем параметры подмены можно настроить через специальный конфигурационный файл.