Очередной троянец-вымогатель распространяется через социальную сеть "ВКонтакте". Вредонос блокирует доступ Windows-компьютеров к сайтам, выдавая предупреждения в стиле Kaspersky Internet Security, сообщается в блоге "Лаборатории Касперского". Троянская программа маскируется под некое приложение, которое якобы изменяет тему оформления персональной странички "ВКонтакте". Судя по её реализации, она рассчитана на обычных, "непродвинутых" пользователей, потому что вся блокировка построена путём внесения изменений в файл hosts. В содержимое файла добавляются инструкции по редиректу обращений к сотне популярных среди рунетчиков сайтов на один и тот же IP-адрес.
Обычно модификация hosts используется мошенниками для создания фишинговых страниц, при помощи которых собираются логины и пароли пользователей. Так было, например, в случае с паролями нескольких десятков тысяч пользователей всё того же "ВКонтакте" прошлым летом, сборщик которых по недосмотру их засветил.
В данном же случае при попытке зайти через браузер на указанные в файле hosts сайты пользователю выдаётся предупреждение, сделанное якобы приложением Kaspersky Internet Security 2010. В нём сообщается, что доступ к такому-то сайту запрещён, поскольку "компьютер заблокирован за рассылку спама". Пользователю предлагается разблокировать компьютер, посетив сайт "ВКонтакте".
Обращение к этому сайту также перехватываются в hosts, однако вместо красной таблички а-ля KIS пользователь заражённого компьютера видит здесь поддельную страничку "ВКонтакте". На ней в паре абзацев описывается прискорбная ситуация со спамом в социальной сети и сообщается, что "в целях предотвращения спам-рассылок и для обеспечения дальнейшей безопасности всей системы" у пользователей компьютеров, (якобы) замеченных в рассылке спама, будет требоваться активация.
Под активацией подразумевается, конечно же, отправка платного SMS-сообщения на премиум-номер. В ответ на это сообщение пользователю обещают выслать код, который он должен ввести в предлагающееся тут же поле.
В "Лаборатории Касперского" отмечают, что никакой код активации на самом деле помочь не может, поскольку со стороны сервера файл hosts исправить нельзя.
Интересно, что создатели трояна предусмотрели маленькую хитрость. Предвидев, что многие юзеры попытаются найти решение самостоятельно на интернет-форумах (тем более что доступ блокируется только к ограниченному числу сайтов), они прячут файл hosts (т.е. делают его скрытым), и создают в той же папке файл hosts.txt. Эта хитрость наверняка ввела в заблуждение многих "вконтактёров", поскольку при дефолтных настройках Windows в Проводнике будет виден только второй, поддельный файл, причём как раз в виде "hosts", т.к. его расширение будет скрыто.
Содержимое этого второго файла явно издевательское. Он содержит типичную для файла hosts строку с редиректом localhost на 127.0.0.1 и следующий комментарий: "Отправьте смс и не мучайтесь... Реальная стоимость смски 100 рублей, а вызов программиста рублей 500 минимум:)".
В блоге "Лаборатории Касперского" сообщается, что троянец начал распространяться на прошлой неделе. Однако на форумах компании сообщения о нём мелькали ещё по крайней мере 5 мая.
webplanet.ru