В сентябре 2009 года наиболее актуальными вирусными событиями стали резко возросшая активность троянской программы Trojan.Encoder, шифрующей данные на компьютерах своих жертв, продолжение нашествия лже-антивирусов, а также оригинальные методы «взлома» социальных сетей.
В течение последнего месяца существенно возросло количество жертв программы-вымогателя Trojan.Encoder, шифрующей документы пользователей и требующей выкуп за их расшифровку. В настоящее время сумма выкупа составляет 600 рублей, и при этом даже после перечисления этих денег злоумышленнику, именующему себя "Корректор", он не гарантирует передачу утилиты-дешифратора или её работоспособность в системе пострадавшего пользователя.
В последние дни появились 3 новые модификации Trojan.Encoder — 43, 44 и 45. Они отличаются от предыдущих новым ключом шифрования документов, а также новыми контактными данными злоумышленника. Специалисты "Доктор Веб" оперативно создали утилиты, позволяющие расшифровать файлы, доступ к которым был заблокирован новыми модификациями Trojan.Encoder. Но особенно интересна еще одна, самая "свежая" модификация Trojan.Encoder. Эта версия троянской программы добавляет к зашифрованным файлам расширение .DrWeb.
Кроме того, в распоряжении специалистов "Доктор Веб" оказалась ссылка на один из сайтов автора актуальных модификаций Trojan.Encoder. Интересно, что владелец этого ресурса пытается ассоциировать себя с "Доктор Веб", используя образы паука и доктора, в то время как компания не имеет к подобным сайтам никакого отношения.
Злоумышленник всячески пытается предстать перед пострадавшими с положительной стороны — как человек, помогающий восстановить документы пользователей. На своем сайте он предлагает просмотреть ролик, в котором демонстрируется работа утилиты дешифровки документов, за которую вымогаются деньги.
По имеющимся сведениям можно предполагать, что вымоганием денег после шифрования файлов занимается один человек.
Лже-антивирусы уже не первый месяц беспокоят пользователей по всему миру. Для того, чтобы человек скачал такую вредоносную программу, придумываются самые разные ухищрения — от специальных интернет-ресурсов с рекламой вымышленного «антивируса» до традиционных спам-рассылок.
В конце сентября заметное распространение получила одна из модификаций лже-антивирусов Trojan.Fakealert.5115. Пик активности этой вредоносной программы пришёлся на 27 сентября, когда на серверах статистики "Доктор Веб" было зафиксировано более 800 000 ее детектов.
После запуска Trojan.Fakealert.5115 в области уведомлений Windows появляется значок с сообщением о том, что система инфицирована и что необходимо использовать специальное ПО для того, чтобы избежать потери данных. Далее сообщается о том, что Windows автоматически загрузит необходимое ПО, для чего нужно щёлкнуть по сообщению.
После этого со специально подготовленных серверов происходит загрузка остальных компонентов Trojan.Fakealert.5115, которые определяются Dr.Web как Trojan.Fakealert.4709 и Trojan.Fakealert.5112. Из визуальных проявлений Trojan.Fakealert.5115 можно также отметить отображение окна вымышленного антивирусного продукта под названием Antivirus Pro 2010.
В настоящее время отмечено распространение новых модификаций этого лже-антивируса — Trojan.Fakealert.5229 и Trojan.Fakealert.5238. Отличием Trojan.Fakealert.5229 других подобных модификаций является перезагрузка системы во время работы троянской программы.
Trojan.Fakealert.5238 отличается тем, что отображает модифицированное окно Windows Security Center, в котором сообщается о том, что компьютер якобы защищён с помощью Antivirus Pro 2010, но необходимо приобрести его лицензию.
При нажатии на соответствующую кнопку открывается специально подготовленный сайт, с помощью которого можно купить данную весьма недешёвую бутафорию. На деле же предлагаемый "полноценный антивирус", как и всегда, оказывается пустышкой.
Кто хочет взломать социальную сеть?
С необычным предложением обратился к своим потенциальным жертвам один из вирусописателей со своей странички в Интернете. Он опубликовал подробности о якобы обнаруженном недавно методе взлома учётных записей пользователей популярной социальной сети «ВКонтакте». При помощи этого метода, злоумышленник предлагает получить возможность редактировать чужие анкетные данные, а также одновременно защитить от данной "уязвимости" свой профиль.
Для достижения этой цели он рекомендует пользователю самостоятельно модифицировать системный файл hosts. При этом с плеч вирусописателя снимается забота о том, как реализовать данную операцию в рамках вредоносной программы.
Естественно, после выполнения инструкций, долгожданный эффект, обещанный автором сайта, не наступает. На этот случай злоумышленник предлагает загрузить программу, которая внесёт необходимые настройки автоматически. И тут пользователей ждёт разочарование — поскольку и теперь ожидаемого результата нет. Что и неудивительно, ибо эта программа определяется Dr.Web как Trojan.DownLoad.47503.
Как показывает статистика, почувствовать себя "хакерами" решили сотни посетителей сети. Вредоносная программа продолжает своё распространение, пик которого пришёлся на 28 сентября.
От классики до авангарда — наука во всех жанрах