Специалисты компании «Доктор Веб» обнаружили новую и крайне
оригинальную версию вредоносной программы Trojan.Mayachok. Троянцы этого
семейства уже насчитывают порядка 1500 различных модификаций, причем
некоторые из них являются самыми распространенными на компьютерах
пользователей по статистике Dr.Web.
В процессе изучения
архитектуры троянца Trojan.Mayachok.18607 у вирусных аналитиков «Доктор
Веб» сложилось впечатление, что автор попытался переписать код этой
вредоносной программы «с чистого листа», опираясь на логику семейства
Trojan.Mayachok. То есть, не исключено, что у популярных среди
злоумышленников троянцев семейства Trojan.Mayachok появился новый автор.
Основное
предназначение Trojan.Mayachok.18607 заключается в осуществлении так
называемых веб-инжектов: при открытии различных веб-страниц вредоносная
программа встраивает в них постороннее содержимое. Под угрозой находятся
браузеры Google Chrome, Mozilla Firefox, Opera и Microsoft Internet
Explorer нескольких версий, включая последние. Пользователь зараженной
машины при открытии некоторых популярных интернет-ресурсов может увидеть
в окне обозревателя оригинальную веб-страницу, в которую троянец
встраивает постороннее содержимое. Например, на сайте социальной сети
«ВКонтакте» пользователю может быть продемонстрировано сообщение:
На
вашу страницу в течение 24 часов было сделано более 10 неудачных
попыток авторизации (вы или кто-то другой ввели неверный пароль 12 раз).
Аккаунт временно заблокирован для предотвращения взлома. Чтобы
подтвердить, что Вы действительно являетесь владельцем страницы,
пожалуйста, укажите номер вашего мобильного телефона, к которому
привязана страница. Если ранее страница не была привязана к номеру
Вашего мобильного телефона, то она будет привязана к номеру, который вы
введете ниже.
Проверка системного файла hosts, в который некоторые троянцы
вносят изменения (что может служить одним из признаков заражения), также
не принесет должного результата: Trojan.Mayachok.18607 не модифицирует
данный файл. При этом троянец располагает вариантами поддельных
веб-страниц для многих интернет-ресурсов, в частности, пользователи
социальной сети «Одноклассники» могут получить сообщение следующего
содержания:
Вы пытаетесь зайти из необычного места. Если вы пытаетесь войти из привычного места, возможно, провайдер сменил ваш IP.
После
ввода номера мобильного телефона пользователь оказывается подписан на
услуги веб-сайта http://vkmediaget.com, стоимость подписки составляет 20
рублей в сутки. Услуга предоставляется совместно с компанией ЗАО
«Контент-провайдер Первый Альтернативный». В качестве другого метода
монетизации злоумышленники используют так называемые «псевдоподписки»: с
номера 6681 жертве приходит СМС с текстом «Для подтверждения ответьте
DA на эту SMS. Поддержка 7hlp.com или 88001007337(бесплатно)». Стоимость
ответного сообщения составляет 304.79 руб.
На том же IP-адресе,
где располагается сайт vkmediaget.com, платные услуги которого
монетизирует троянец Trojan.Mayachok.18607, располагаются и другие
интернет-ресурсы, например, odmediaget.com (для пользователей соцсети
odnoklassniki.ru) — имена и оформление таких веб-страниц специально
подобраны с целью ввести пользователей в заблуждение. Кроме того, на
данном сервере расположен сайт mediadostupno.com, якобы предоставляющий
услуги анонимайзера. В данном случае, как и во множестве аналогичных,
сайт используется как прикрытие для одобрения предоставляемой подписки
со стороны контент-провайдера и подключения мобильных платежей.
Источник:
оригинальную версию вредоносной программы Trojan.Mayachok. Троянцы этого
семейства уже насчитывают порядка 1500 различных модификаций, причем
некоторые из них являются самыми распространенными на компьютерах
пользователей по статистике Dr.Web.
В процессе изучения
архитектуры троянца Trojan.Mayachok.18607 у вирусных аналитиков «Доктор
Веб» сложилось впечатление, что автор попытался переписать код этой
вредоносной программы «с чистого листа», опираясь на логику семейства
Trojan.Mayachok. То есть, не исключено, что у популярных среди
злоумышленников троянцев семейства Trojan.Mayachok появился новый автор.
Основное
предназначение Trojan.Mayachok.18607 заключается в осуществлении так
называемых веб-инжектов: при открытии различных веб-страниц вредоносная
программа встраивает в них постороннее содержимое. Под угрозой находятся
браузеры Google Chrome, Mozilla Firefox, Opera и Microsoft Internet
Explorer нескольких версий, включая последние. Пользователь зараженной
машины при открытии некоторых популярных интернет-ресурсов может увидеть
в окне обозревателя оригинальную веб-страницу, в которую троянец
встраивает постороннее содержимое. Например, на сайте социальной сети
«ВКонтакте» пользователю может быть продемонстрировано сообщение:
На
вашу страницу в течение 24 часов было сделано более 10 неудачных
попыток авторизации (вы или кто-то другой ввели неверный пароль 12 раз).
Аккаунт временно заблокирован для предотвращения взлома. Чтобы
подтвердить, что Вы действительно являетесь владельцем страницы,
пожалуйста, укажите номер вашего мобильного телефона, к которому
привязана страница. Если ранее страница не была привязана к номеру
Вашего мобильного телефона, то она будет привязана к номеру, который вы
введете ниже.
Проверка системного файла hosts, в который некоторые троянцы
вносят изменения (что может служить одним из признаков заражения), также
не принесет должного результата: Trojan.Mayachok.18607 не модифицирует
данный файл. При этом троянец располагает вариантами поддельных
веб-страниц для многих интернет-ресурсов, в частности, пользователи
социальной сети «Одноклассники» могут получить сообщение следующего
содержания:
Вы пытаетесь зайти из необычного места. Если вы пытаетесь войти из привычного места, возможно, провайдер сменил ваш IP.
После
ввода номера мобильного телефона пользователь оказывается подписан на
услуги веб-сайта http://vkmediaget.com, стоимость подписки составляет 20
рублей в сутки. Услуга предоставляется совместно с компанией ЗАО
«Контент-провайдер Первый Альтернативный». В качестве другого метода
монетизации злоумышленники используют так называемые «псевдоподписки»: с
номера 6681 жертве приходит СМС с текстом «Для подтверждения ответьте
DA на эту SMS. Поддержка 7hlp.com или 88001007337(бесплатно)». Стоимость
ответного сообщения составляет 304.79 руб.
На том же IP-адресе,
где располагается сайт vkmediaget.com, платные услуги которого
монетизирует троянец Trojan.Mayachok.18607, располагаются и другие
интернет-ресурсы, например, odmediaget.com (для пользователей соцсети
odnoklassniki.ru) — имена и оформление таких веб-страниц специально
подобраны с целью ввести пользователей в заблуждение. Кроме того, на
данном сервере расположен сайт mediadostupno.com, якобы предоставляющий
услуги анонимайзера. В данном случае, как и во множестве аналогичных,
сайт используется как прикрытие для одобрения предоставляемой подписки
со стороны контент-провайдера и подключения мобильных платежей.
Источник:
» Шифровальщик CryptXXX 3.0 обезвредили!
» Вымогатель Kangaroo блокирует пользователям доступ к Windows
» Microsoft заявляет, что новую 0-day уязвимость в Windows используют хакеры из Fancy Bear
» 360 Total Security 8.8.0.1083 [Multi/Ru]
» SecureAPlus Freemium 4.3.3 [Multi/Ru]
» GridinSoft Anti-Malware [Multi/Ru] - антивирусная утилита!
» Новый вариант трояна Kovter маскируется под обновления для Firefox
» Эксперт представил способ похищения данных через кулер компьютера