Livejournal Facebook Twitter
Последний трансфер кубань договор с туристом туристическая фирма кубань.

Trojan.VkBase.73 атакует пользователей Facebook

Это может случиться с каждым. Однажды в папке личных сообщений пользователь Facebook находит послание, отправленное кем-либо из его списка друзей. В сообщении содержится информация о том, что на сайте YouTube выложен компрометирующий пользователя видеоролик, а также приводится ссылка на соответствующую страничку. Перейдя по ссылке, пользователь попадает на принадлежащий злоумышленникам фишинговый сайт, полностью копирующий оформление сервера youtube.com. Подделка настолько похожа на оригинальный YouTube, что отличить его от настоящего сайта популярного видеохостинга на первый взгляд довольно-таки сложно. На фишинговой веб-странице обозначено название видеоролика, в котором содержится имя жертвы, например, он может быть озаглавлен следующим образом: «%username% is in the leading role. Shocking performance!», что в переводе означает: «%username% в главной роли. Шокирующее поведение!», где вместо %username% автоматически подставляется имя пользователя Facebook. Также страничка содержит несколько фальшивых комментариев от других пользователей сайта, которые якобы были шокированы, ознакомившись с этим видео. Для того чтобы просмотреть ролик, пользователю предлагается скачать и установить обновленный flash-проигрыватель, в роли которого выступает исполняемый файл с именем Flash-Player.exe. В этом файле и содержится троянец Trojan.VkBase.73.

virus facebook



Данная вредоносная программа написана на языке Delphi, файл имеет объем 1,14 Mбайт. Будучи запущенным на выполнение, Trojan.VkBase.73 демонстрирует на экране компьютера сообщение об ошибке, говорящее о том, что проигрыватель Flash установить не удалось, а затем определяет и удаляет запущенные в операционной системе антивирусы и начинает эмулировать их дальнейшую работу, размещая в Панели задач Windows значок соответствующего приложения. Для этого он записывает себя в качестве системной службы с именем wxpdrivers, которая запускается при старте системы в безопасном режиме, изменяет параметры загрузки Windows, и после запуска ОС в режиме защиты от сбоев удаляет антивирусные программы. Таким образом, пользователь даже не догадывается, что его компьютер больше не имеет антивирусной защиты. Среди антивирусных средств, работу которых умеет эмулировать Trojan.VkBase.73, можно перечислить следующие: Agava, Avast, AVG, Avira, Comodo, Dr. Web, MS Security Essentials & Defender, Kaspersky: KAV & KIS 7, 2009, 2010, 2011, McAffee, NOD32 AV & SS version 4.2, Norton, Outpost, Panda. После успешного удаления средств информационной защиты на экран выводится сообщение на русском или английском языке (в зависимости от версии антивирусного ПО) следующего содержания: «Внимание! Антивирус [название антивируса] работает в режиме усиленной защиты. Это временная мера, необходимая для моментального реагирования на угрозы со стороны вирусных программ. От вас не требуется никаких действий». Данное сообщение демонстрируется для того чтобы пользователь не проявлял беспокойство, обнаружив, что значок антивирусной программы в Области уведомлений Панели задач Windows более не реагирует на щелчки мышью.  Наконец, Trojan.VkBase.73 добавляет ссылку на себя в ветвь системного реестра, отвечающую за автоматический запуск приложений в процессе загрузки Windows, и создает на системном диске две копии самого себя с именами    C:\WINDOWS\services32.exe и     C:\WINDOWS\update.1\svchost.exe.

 

Trojan.VkBase.73

 

 

В теле троянца содержится список из 1953 IP-адресов, с которых Trojan.VkBase.73 загружает на компьютер жертвы различные файловые объекты, среди которых могут быть как исполняемые файлы, так и дополнительные списки IP-адресов удаленных узлов. Полученные таким образом IP-адреса записываются в системный реестр Windows и обновляются при поступлении нового списка. Для проверки соединения с Интернетом троянец отправляет запросы на сайты youtube.com, blogspot.com, baidu.com, wikipedia.org, live.com и twitter.com.

Изначально подобным образом троянские программы распространялись в российской социальной сети «В Контакте», и вот теперь вирусописатели переключились на Facebook. Несмотря на то, что заражению Trojan.VkBase.73 подвергаются, в основном, англоязычные пользователи Facebook, анализ троянца показывает, что его управляющие сервера располагаются в российской доменной зоне .ru, а значит, перед нами все та же, хорошо знакомая угроза. Пользователям можно посоветовать внимательно отслеживать URL сайтов, на которые они переходят по ссылкам из Facebook, либо вообще не открывать подозрительные ссылки, даже полученные в сообщениях от знакомых людей. Кроме того, не рекомендуется устанавливать какие-либо обновления проигрывателя Flash, кроме загруженных с официального сайта производителя этого ПО – компании Adobe.

Поиск

Энциклопедия Windows - Winpedia.ru Русское сообщество пользователей Android Дистанционное обучение нового поколения

Верстка, контент, дизайн © 2000 - 2017, Валентин Холмогоров.