Доктор Веб: Вирусная активность в сентябре 2009 года

Компания "Доктор Веб" представила обзор вирусной активности в сентябре 2009 года. В прошлом месяце наиболее актуальными вирусными событиями стали резко возросшая активность троянской программы Trojan.Encoder, шифрующей данные на компьютерах своих жертв, продолжение нашествия лже-антивирусов, а также оригинальные методы "взлома" социальных сетей.

В течение последнего месяца существенно возросло количество жертв программы-вымогателя Trojan.Encoder, шифрующей документы пользователей и требующей выкуп за их расшифровку. В настоящее время сумма выкупа составляет 600 рублей, и при этом даже после перечисления этих денег злоумышленнику, именующему себя "Корректор", он не гарантирует передачу утилиты-дешифратора или её работоспособность в системе пострадавшего пользователя.

В последние дни появились 3 новые модификации Trojan.Encoder — 43, 44 и 45. Они отличаются от предыдущих новым ключом шифрования документов, а также новыми контактными данными злоумышленника. Специалисты "Доктор Веб" оперативно создали утилиты, позволяющие расшифровать файлы, доступ к которым был заблокирован новыми модификациями Trojan.Encoder. Но особенно интересна еще одна, самая "свежая" модификация Trojan.Encoder. Эта версия троянской программы добавляет к зашифрованным файлам расширение .DrWeb.

Кроме того, в распоряжении специалистов "Доктор Веб" оказалась ссылка на один из сайтов автора актуальных модификаций Trojan.Encoder. Интересно, что владелец этого ресурса пытается ассоциировать себя с "Доктор Веб", используя образы паука и доктора, в то время как компания не имеет к подобным сайтам никакого отношения.

Злоумышленник всячески пытается предстать перед пострадавшими с положительной стороны — как человек, помогающий восстановить документы пользователей. На своем сайте он предлагает просмотреть ролик, в котором демонстрируется работа утилиты дешифровки документов, за которую вымогаются деньги.

По имеющимся сведениям можно предполагать, что вымоганием денег после шифрования файлов занимается один человек.

Лже-антивирусы уже не первый месяц беспокоят пользователей по всему миру. Для того, чтобы человек скачал такую вредоносную программу, придумываются самые разные ухищрения — от специальных интернет-ресурсов с рекламой вымышленного «антивируса» до традиционных спам-рассылок.

В конце сентября заметное распространение получила одна из модификаций лже-антивирусов Trojan.Fakealert.5115. Пик активности этой вредоносной программы пришёлся на 27 сентября, когда на серверах статистики "Доктор Веб" было зафиксировано более 800 000 ее детектов.

После запуска Trojan.Fakealert.5115 в области уведомлений Windows появляется значок с сообщением о том, что система инфицирована и что необходимо использовать специальное ПО для того, чтобы избежать потери данных. Далее сообщается о том, что Windows автоматически загрузит необходимое ПО, для чего нужно щёлкнуть по сообщению.

После этого со специально подготовленных серверов происходит загрузка остальных компонентов Trojan.Fakealert.5115, которые определяются Dr.Web как Trojan.Fakealert.4709 и Trojan.Fakealert.5112. Из визуальных проявлений Trojan.Fakealert.5115 можно также отметить отображение окна вымышленного антивирусного продукта под названием Antivirus Pro 2010.

В настоящее время отмечено распространение новых модификаций этого лже-антивируса — Trojan.Fakealert.5229 и Trojan.Fakealert.5238. Отличием Trojan.Fakealert.5229 других подобных модификаций является перезагрузка системы во время работы троянской программы.

Trojan.Fakealert.5238 отличается тем, что отображает модифицированное окно Windows Security Center, в котором сообщается о том, что компьютер якобы защищён с помощью Antivirus Pro 2010, но необходимо приобрести его лицензию.

При нажатии на соответствующую кнопку открывается специально подготовленный сайт, с помощью которого можно купить данную весьма недешёвую бутафорию. На деле же предлагаемый "полноценный антивирус", как и всегда, оказывается пустышкой.

Кто хочет взломать социальную сеть?

С необычным предложением обратился к своим потенциальным жертвам один из вирусописателей со своей странички в Интернете. Он опубликовал подробности о якобы обнаруженном недавно методе взлома учётных записей пользователей популярной социальной сети «ВКонтакте». При помощи этого метода, злоумышленник предлагает получить возможность редактировать чужие анкетные данные, а также одновременно защитить от данной "уязвимости" свой профиль.

Для достижения этой цели он рекомендует пользователю самостоятельно модифицировать системный файл hosts. При этом с плеч вирусописателя снимается забота о том, как реализовать данную операцию в рамках вредоносной программы.

Естественно, после выполнения инструкций, долгожданный эффект, обещанный автором сайта, не наступает. На этот случай злоумышленник предлагает загрузить программу, которая внесёт необходимые настройки автоматически. И тут пользователей ждёт разочарование — поскольку и теперь ожидаемого результата нет. Что и неудивительно, ибо эта программа определяется Dr.Web как Trojan.DownLoad.47503.

Как показывает статистика, почувствовать себя "хакерами" решили сотни посетителей сети. Вредоносная программа продолжает своё распространение, пик которого пришёлся на 28 сентября.