«Доктор Веб»: Троян сообщает жертвам о блокировке доступа к соцсетям

image

Теги: Доктор Веб, троян, соцсеть, вирус

Злоумышленники заменяют web-страницы поддельными уведомлениями о блокировке доступа к соцсетям «ВКонтакте» и «Одноклассники».

Как сообщили эксперты компании «Доктор Веб», к ним начали поступать жалобы от интернет-пользователей по поводу того, что они потеряли возможность авторизоваться в своих учетных записях в социальных сетях.

При попытке зайти на сайт, в окне браузера отображается сообщение о том, что учетная запись заблокирована и для разблокировки требуется ввести свой телефонный номер и полученный в ответном SMS-сообщении код.

По данным экспертов, злоумышленники разработали несколько вариантов «предупреждений»:

«Мы зафиксировали попытку взлома Вашей страницы. Не беспокойтесь, она в безопасности. Чтобы обезопасить Вашу страницу от злоумышленников и в будущем, мы просим Вас подтвердить привязку к телефону и придумать новый сложный пароль».

«Ваша страница была заблокирована по подозрению на взлом! Наша система безопасности выявила массовую рассылку спам-сообщений с Вашего аккаунта, и мы были вынуждены временно заблокировать его. Для восстановления доступа к аккаунту Вам необходимо пройти валидацию через мобильный телефон».

Для того, чтобы жертвы охотней соглашались указывать в предложенной форме свой номер телефона, поддельные страницы содержали настоящие имена пользователей.

Исследователи установили, что поддельные страницы распространяла видоизмененная троянской программой  Trojan.Zekos системная библиотека rpcss.dll, являющаяся компонентом службы удаленного вызова процедур (RPC) в операционных системах Microsoft Windows.

«Trojan.Zekos состоит из нескольких компонентов. Запустившись на зараженном компьютере, Trojan.Zekos сохраняет свою зашифрованную копию в одну из системных папок в виде файла со случайным именем и расширением, отключает защиту файлов Windows File Protection и пытается повысить собственные привилегии в операционной системе. Затем троянец модифицирует библиотеку rpcss.dll, добавляя в нее код, основное предназначение которого — загрузка в память компьютера хранящейся на диске копии троянца. Также Trojan.Zekos модифицирует драйвер протокола TCP/IP (tcpip.sys) с целью увеличения количества одновременных TCP-соединений в 1 секунду с 10 до 1000000», - говорится в уведомлении «Доктор Веб».

Исследователи отметили, что троян способен перехватывать DNS-запросы на инфицированном компьютере для процессов браузеров Internet Explorer, Firefox, Chrome, Opera, Safari и др.

В таком случае, при попытке пользователя зайти на популярный сайт, браузер получает в ответ некорректный IP-адрес запрашиваемого ресурса, и вместо искомого сайта пользователь увидит принадлежащую злоумышленникам web-страницу. При этом в адресной строке браузера будет демонстрироваться правильный URL.

Подробнее с уведомлением «Доктор Веб» можно ознакомиться здесь.

или введите имя

CAPTCHA
Прохожий
12-04-2013 08:00:36
Ну что за баян? Я эти вирусы уже как минимум год встречаю, а доктор веб их только сейчас нашел? Вот и спрашивается - кто виноват? Писатель, что выложил эти письмена спустя год или же ДокторВеб?
0 |
Медбрат Тед
12-04-2013 10:39:46
Маркетологи, они такие
0 |
GiN_96
12-04-2013 13:12:54
По-моему, раньше что-то на подобии этого я уже наблюдал, только там вирь блочил сайты антивирей и скорее всего ещё какую-то пакость тварил (при этом host был родной, реестр автозагрузки стандартно пустой, ip по ping не припомню, все антивири молчали...) Наверное, принцип работы тотже, хотя я могу ошибаться.
0 |
Бахтияр
02-05-2014 22:51:00
как вести номер для получения кода для разблакировки учетной записи
0 |