Компания «Доктор Веб» в четверг сообщила о широком распространении
вредоносных программ семейства Trojan.HttpBlock, которые за
восстановление доступа к популярным интернет-ресурсам требуют отправить
платное СМС-сообщение на короткий номер 6681. В настоящее время
обращения по поводу лечения компьютера от Trojan.HttpBlock составляют
около 80% всех запросов в бесплатную техническую поддержку компании
«Доктор Веб» для пользователей, пострадавших от интернет-мошенничества.
Начало
распространения троянцев семейства Trojan.HttpBlock было зафиксировано
22 сентября 2010 года. Заражая компьютер, эти вредоносные программы
модифицируют системный файл hosts и тем самым блокируют доступ к
популярным сайтам.
Trojan.HttpBlock является новым витком
развития троянцев, которые используют интернет-мошенники. Он учитывает и
обходит сложности, с которыми злоумышленники сталкивались ранее.
В
отличие от троянцев семейства Trojan.Hosts, которые также блокируют
доступ к популярным интернет-ресурсам, перенаправляя браузер на
вредоносные сайты, Trojan.HttpBlock перенаправляет пользователя на
веб-сервер, устанавливаемый на его же компьютере.
Таким образом
злоумышленники значительно упрощают себе задачу. В самом деле, авторам
Trojan.HttpBlock не нужно постоянно искать новый хостинг для страниц.
Также нет необходимости маскировать страницу под дизайн доверенного
сайта, чтобы усыпить бдительность пользователя. Trojan.HttpBlock выводит
в интернет-браузере текстовую страницу, на которой сообщается, что
доступ в Интернет был заблокирован за посещение сайтов взрослой
тематики, и для его восстановления необходимо отправить платное
СМС-сообщение на короткий номер 6681.
Также возникают сложности
при попытке воспользоваться утилитами для анализа зараженной системы:
троянец завершает работу некоторых опасных для себя процессов в
соответствии со списком, составленным авторами программы. При этом
троянец рассчитан и на пользователей 64-битных систем – Trojan.HttpBlock
имеет возможность завершать работу как 32-битных, так и 64-битных
процессов в 64-битных версиях Windows.
В последних модификациях
Trojan.HttpBlock вирусописатели шифруют некоторые строки, что затрудняет
анализ соответствующих вредоносных файлов.
Распространяется
Trojan.HttpBlock в виде дистрибутива медиаплеера Fusion Media Player
через сайты с бесплатным контентом, как правило, предлагающие пиратское
программное обеспечение. На таких сайтах часто открываются
дополнительные всплывающие окна, некоторые из которых похожи на сайты с
роликами для взрослой аудитории. При попытке проиграть любой из
предлагаемых видеороликов предлагается скачать и установить видеоплеер.
Если
пользователь соглашается с этим предложением, то загружается
дистрибутив в формате msi. Он действительно содержит Fusion Media
Player, но вместе с плеером устанавливается и троянец. Многие принимают
решение устанавливать данный дистрибутив именно из-за того, что у него
не exe-формат, а msi, т. к. среди пользователей существует стереотип о
том, что вредоносные программы могут распространяться только в
exe-формате. Тот факт, что видеоплеер в системе все же устанавливается,
снижает вероятность того, что пользователь свяжет заражение системы с
установленным плеером.
Как сообщается, в большинстве случаев для
лечения системы достаточно произвести сканирование с помощью бесплатной
лечащей утилиты Dr.Web CureIt!
|
Главная 
