IT ExpertМир технологийНовинки

Trojan.Mayachok.1 избрал новые цели для атаки

| 05.08.2011

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Trojan.Mayachok.1 избрал новые цели для атаки

Компания «Доктор Веб» предупреждает пользователей об участившихся в последнее время случаях заражения персональных компьютеров вредоносной программой Trojan.Mayachok.1. Данный троянец крадет средства со счетов клиентов мобильных операторов, предлагая пользователям ответить на входящее СМС-сообщение.

В конце прошлой недели была зафиксирована волна заражений, в ходе которой пользователи неожиданно столкнулись с невозможностью выйти в Интернет: вместо запрашиваемых ими сайтов в окне браузера демонстрировалось сообщение: «Канал вашего района перегружен, и мы вынуждены ограничить загрузку некоторых сайтов на время, пока канал не будет разгружен. […] Если работа в сети Интернет на текущий момент для вас критична, вы можете подключить резервный канал вашего района. Чтобы подтвердить намерение и крайнюю необходимость перейти на резервный канал, ответьте на входящее СМС-сообщение». Если пользователь следовал указаниям злоумышленников и вводил свой телефонный номер в соответствующую форму, а затем отвечал на входящее СМС, с его счета незамедлительно списывались средства.

Были зафиксированы случаи блокировки доступа в Интернет с подменой сайта «Ростелеком», однако этим аппетиты злоумышленников не ограничивались: вот неполный список интернет-ресурсов, страницы которых может подменить этот троянец: youtube.com, vkontakte.ru, odnoklassniki.ru, rostelecom.ru, support.akado.ru, my.mail.ru. Во всех случаях при попытке открыть в браузере какой-либо сайт Trojan.Mayachok.1 перенаправляет пользователя на заранее определенный URL, демонстрируя в окне браузера веб-страницу, предлагающую «активировать» или «подтвердить» аккаунт, указав свой номер телефона и ответив на входящее СМС-сообщение.

Один из подтвержденных методов распространения данной вредоносной программы — рассылка в социальной сети «В контакте», рекламирующая программу для просмотра посещающих страницу пользователя гостей. В описании этой программы имеется ссылка, по которой и загружается Trojan.Mayachok.1. Запустившись на инфицированном компьютере, троянец создает в папке system32 библиотеку с именем, сгенерированным на основе серийного номера текущего раздела жесткого диска, затем копирует себя во временную папку под именем flash_player_update.exe и начинает запускать этот файл с периодичностью в 10 секунд. Затем троянец вносит изменения в системный реестр Windows и перезагружает компьютер. После этого Trojan.Mayachok.1 сохраняет в папку
C:\Documents and Settings\All Users\Application Data\cf собственный конфигурационный файл, содержащий перечень блокируемых сайтов, адреса управляющих серверов и скрипты, которые встраиваются в запрашиваемые пользователем веб-страницы.

Если вы уже стали жертвой данного троянца, обновите вирусные базы и проведите сканирование дисков вашего компьютера. Кроме того, можно воспользоваться средством аварийного восстановления системы Dr.Web LiveCD или лечащей утилитой Dr.Web CureIt!

Другие материалы рубрики

Загрузка...

Компании сообщают

Мероприятия

21.08.2019
Telegram Evening

Москва, пространство Di Telegraph (ул.Тверская, д. 7)

22.08.2019
ИТ-пикник

Санкт-Петербург

23.08.2019
DISKOBALL от DataLine

Москва, Стадион "Метеор"

29.08.2019 — 30.08.2019
II Петербургский Цифровой форум

Санкт-Петербург, Ленэкспо, павильон 7

09.09.2019 — 10.09.2019
IT в ритейле

Москва, Холидей Инн Сокольники