Блокировщики сайтов распространяются вместе с Fusion Media Player

image

Теги: Доктор Веб, троян, блокировка сайтов

Компания «Доктор Веб» сообщает о широком распространении вредоносных программ семейства Trojan.HttpBlock, которые за восстановление доступа к популярным интернет-ресурсам требуют отправить платное СМС-сообщение на короткий номер 6681.

Компания «Доктор Веб» сообщила о широком распространении вредоносных программ семейства Trojan.HttpBlock, которые за восстановление доступа к популярным интернет-ресурсам требуют отправить платное СМС-сообщение на короткий номер 6681. В настоящее время обращения по поводу лечения компьютера от Trojan.HttpBlock составляют около 80% всех запросов в бесплатную техническую поддержку компании «Доктор Веб» для пользователей, пострадавших от интернет-мошенничества.

Начало распространения троянов семейства Trojan.HttpBlock было зафиксировано 22 сентября 2010 года. Заражая компьютер, эти вредоносные программы модифицируют системный файл hosts и тем самым блокируют доступ к популярным сайтам.

Trojan.HttpBlock является новым витком развития троянцев, которые используют интернет-мошенники. Он учитывает и обходит сложности, с которыми злоумышленники сталкивались ранее. В отличие от троянов семейства Trojan.Hosts, которые также блокируют доступ к популярным интернет-ресурсам, перенаправляя браузер на вредоносные сайты, Trojan.HttpBlock перенаправляет пользователя на веб-сервер, устанавливаемый на его же компьютере.

Таким образом злоумышленники значительно упрощают себе задачу. В самом деле, авторам Trojan.HttpBlock не нужно постоянно искать новый хостинг для страниц. Также нет необходимости маскировать страницу под дизайн доверенного сайта, чтобы усыпить бдительность пользователя. Trojan.HttpBlock выводит в интернет-браузере текстовую страницу, на которой сообщается, что доступ в Интернет был заблокирован за посещение сайтов взрослой тематики, и для его восстановления необходимо отправить платное СМС-сообщение на короткий номер 6681.

Также возникают сложности при попытке воспользоваться утилитами для анализа зараженной системы: троян завершает работу некоторых опасных для себя процессов в соответствии со списком, составленным авторами программы. При этом троян рассчитан и на пользователей 64-битных систем – Trojan.HttpBlock имеет возможность завершать работу как 32-битных, так и 64-битных процессов в 64-битных версиях Windows.

В последних модификациях Trojan.HttpBlock вирусописатели шифруют некоторые строки, что затрудняет анализ соответствующих вредоносных файлов.

Распространяется Trojan.HttpBlock в виде дистрибутива медиаплеера Fusion Media Player через сайты с бесплатным контентом, как правило, предлагающие пиратское программное обеспечение. На таких сайтах часто открываются дополнительные всплывающие окна, некоторые из которых похожи на сайты с роликами для взрослой аудитории. При попытке проиграть любой из предлагаемых видеороликов предлагается скачать и установить видеоплеер.

Если пользователь соглашается с этим предложением, то загружается дистрибутив в формате msi. Он действительно содержит Fusion Media Player, но вместе с плеером устанавливается и троян. Многие принимают решение устанавливать данный дистрибутив именно из-за того, что у него не exe-формат, а msi, т.к. среди пользователей существует стереотип о том, что вредоносные программы могут распространяться только в exe-формате. Тот факт, что видеоплеер в системе все же устанавливается, снижает вероятность того, что пользователь свяжет заражение системы с установленным плеером.

В большинстве случаев для лечения системы достаточно произвести сканирование с помощью бесплатной лечащей утилиты Dr.Web CureIt!

С начала распространения Trojan.HttpBlock в вирусную базу Dr.Web было добавлено более 30 модификаций данной вредоносной программы. Также была создана запись Trojan.HttpBlock.origin, использующая технологию Origins Tracing. Эта запись позволяет определять наличие в системе неизвестных модификаций данной вредоносной программы.


или введите имя

CAPTCHA
123
14-10-2010 23:41:20
ни чего нового
0 |
гость
14-10-2010 23:56:26
голова болит- мы ей бьёмся и за старое снова беремся(с)
0 |
Мимо шёл
15-10-2010 20:51:30
Как ничего? dr.web нового trojan написал и впаривал вместе с плеером. Тем самым увеличив продажи своих поделок под названием, кто бы мог подумать, "antivirus"
0 |
pimiento
15-10-2010 06:35:55
Дайте ссылочку, где скачать
0 |
15-10-2010 08:11:08
Ага, и скрипт сборки пожалуйста. И с какими ключами пускать
0 |
z
15-10-2010 16:20:56
И с какими ключами пускатьСпециально для Вас мы подготовили новую эксклюзивную гаечных ключей, применение которых к Вашей голове доставит немало приятных ощущений окружающим
0 |
данилов
15-10-2010 20:53:31
Обращайтесь в support dr.web. Мы вам самые свежие ссылочки дадим
0 |
56526
15-10-2010 08:34:19
На таких сайтах часто открываются дополнительные всплывающие окна, некоторые из которых похожи на сайты с роликами для взрослой аудитории. При попытке проиграть любой из предлагаемых видеороликов предлагается скачать и установить видеоплеер.Старо, как Windows 9х. Фантазии хватило только на .msi?
0 |
Den
15-10-2010 09:04:09
А зачем? Им главное бабла срубить, а дураков что отправляет смс-ки хватает
0 |
опоратный
15-10-2010 09:59:33
а как же короткий номер 6681? анон што-ли регестрировал)?
0 |
анон
15-10-2010 10:18:02
анон налоги платит
0 |
Korvelle
20-10-2010 16:48:54
Ваши заявления о "поделке" абсурдны и требуют доказательств. Не вижу ничего плохого в том что компания выкладывает подобные новости. К тому же Dr.Web не стремится к массовости перехода на данный продукт пользователей, поскольку основное финансирование идет со стороны государственных организаций. Для лечения покупка лицензии не требуется: cureit бесплатен для частного лица.
0 |