10 лет назад 10 июля 2008 в 18:41 52

Способ заражения – контактный!

Пользователям самых популярных российских социальных сетей “Вконтакте” и “Одноклассники” пришлось поплатиться за свою доверчивость и отзывчивость: в первый раз они подверглись через эти ресурсы хакерской атаке, в результате чего их компьютеры оказались заражены вирусами. Примененные технологии вирусного заражения были не новы, но сам способ их распространения оказался в новинку, что и стало причиной такой массовой эпидемии: заражению подверглись сотни тысяч компьютеров.

ПК пользователей, которые 16 мая открыли ссылку от друга “Вконтакте” на картинку в формате JPEG, стали первыми “заболевшими”. Ссылка на самом деле вела на сервер злоумышленников roland.misecure.com/deti.jpg, который передавал по этой ссылке исполняемый файл deti.scr, являвшийся сетевым червем. Последний сохранял себя в папку C:\Documents and Settings\*UserDir*\Application Data\Vkontakte под именем svc.exe, а попутно загружал искомое изображение, чтобы пользователь ничего не заподозрил. Одновременно в cookies браузера он искал пароль доступа на страничку ресурса “Вконтакте”, а найдя ее, заходил на ресурс под маской пользователя и рассылал себя его друзьям в виде все той же ссылки на картинку. Так происходило распространение червя, но его разрушительная сила крылась в другом.

Об этом узнали те, кто до 10 часов утра 25 мая не удосужился защитить свой компьютер (программы для лечения к тому времени выпустили и Dr.Web, и “Антивирус Касперского”, нужно было просто обновить базу или скачать соответствующую утилиту для сканирования компьютера). В это время червь выводил на экран остроумное сообщение якобы от владельца ресурса “Вконтакте” Павла Дурова, а сам начинал пожирать файлы со всех носителей, даже флэшек, подключенных к компьютеру. Причем сначала обнулялся размер файла, а потом он удалялся. Таким образом, пользователи, пытавшиеся восстановить потерянные данные, не добивались результата. Единственным выходом при виде сообщения оказывалось немедленное отключение питания компьютера с последующей загрузкой через LiveCD и “чисткой” жесткого диска.

Надо сказать, наши антивирусные службы среагировали оперативно и своевременно предупредили о черве администрацию “Вконтакте”, которая сразу же запретила сообщения со ссылкой на файл deti.jpg. Однако авторы червя просто поменяли адрес ссылки – переход по ней вел все на тот же сайт roland.misecure.com/deti.jpg. Так распространение эпидемии продолжилось, и вторая волна была гораздо мощнее первой.

Мисс Троянский конь

К одноклассникам же обратились за помощью. Отзывчивых оказалось много по двум причинам: во-первых, обратилась молодая привлекательная девушка, во-вторых, она назвалась “другом друзей” и попросила проголосовать за нее на конкурсе “Мисс Рунет”. В сообщении была и ссылка на ресурс, где можно было посмотреть фотографии ее и конкуренток.

Под маской совершенно легального сайта конкурса скрывался ресурс злоумышленников. При нажатии на нем кнопки “Отдать свой голос” скачивался файл fire-codec5107.exe – это троян, который, заражая компьютер, превращает его в бот, в результате чего тот впоследствии становится источником массовых спам-рассылок. При этом сам конкурс существует, и девушка настоящая, только зовут ее на самом деле по-другому, и, конечно, к трояну ни она, ни организаторы конкурса отношения не имеют.

Как не имеет отношения к повреждению компьютеров своих поклонников и сам пострадавший от хакеров Дима Билан, сайт которого, по сообщению “Лаборатории Касперского”, оказался заражен троянской программой. Это случилось как раз после победы певца на “Евровидении”, в результате чего интерес к нему повысился, и многие пользователи заходили к нему на сайт. Скрипт Trojan-Clicker.HTML.Iframe.lq с первой страницы ресурса обращался к китайскому сайту xanjan.cn, а оттуда в систему пользователя через лазейку в Internet Explorer устанавливалась и запускалась троянская программа, сочетавшая в себе возможности шпиона и функционал для удаленного управления зараженным компьютером.