Вирусописатели продают антивирус для удаления своего трояна

image

Теги: троян, Wikipedia, вирус, Лаборатория Касперского

Сравнение кода MonaRonaDona и Unigray Antivirus показывает, что у этих программ очень много общего, не оставляя сомнений в том, что за обеими программами стоит одна и та же группа вирусописателей. Эти люди прекрасно овладели приемами социальной инженерии и научились манипулировать пользователями.

Новый вредоносный скрипт MonaRonaDona собрал большое количество жалоб от пострадавших пользователей в этом месяце, — пишет эксперт по сетевой безопасности Брайан Крэбс (Brian Krebs). После установки он выдает сообщение о том, что MonaRonaDona призвана обратить внимание общественности на повсеместное нарушение прав человека.

На данный момент непонятно, каким образом троян попадает на компьютер пользователя, однако известно, что при первом запуске она автоматически заносит себя в список приложений, запускающихся при старте ОС Windows. Во время работы скрипт завершает работу приложений, в заголовке которых находится следующий текст: Google Talk, Adobe, WMP, Winamp, Microsoft Office, Messenger. Совершенно очевидно, что стандартные для любого пользователя Windows программы не смогут работать, а потому стоит поосторожничать в ближайшее время.

Кроме того, вредоносная программа меняет стартовую страницу в Microsoft Internet Explorer на статью в Википедии, посвященную правам человека. Казалось бы, наконец-то в Сети появился настоящий Робин Гуд, для которого заработок не основной мотив вирусописательства, но не тут то было — при внимательном расследовании всплывают наружу весьма занятные факты.

При попытке найти в Сети данные о чудо-вирусе неискушенный пользователь попадает на статью двухнедельной давности, в которой утверждается, что единственной возможностью удалить вирус станет новый антивирусный софт Unigray Antivirus, а видеопособие по работе с программой успокоит засомневавшегося было пользователя. Стоимость покупки антивирусного пакета составляет $39,90.

Все бы ничего, да вот смущают некоторые вещи. Почему именитые антивирусные системы, над созданием и поддержкой которых работают сотни человек, не обнаружили правозащитную ломалку MonaRonaDona? Почему домену unigray.com три недели от роду? И в конце-концов, почему антивирусный сайт закрылся сразу после появления в западной прессе первых сообщений о возможных махинациях?

По данным сотрудников "Лаборатории Касперского", анализ кода обеих программ говорит, что между ними много общего. Очевидно, что за созданием вируса и "панацеи" стоит одна группа вирусописателей, которая овладела методами социальной инженерии ради манипуляции пользователями. Продукты "ЛК" обнаруживают вредоносную программу MonaRonaDona как Trojan.Win32.Monagrey.a, а Unigray Antivirus как not-a-virus:FraudTool.Win32.Unigray.a.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus