rss Twitter Добавить виджет на Яндекс
Реклама:
     
 
 
 
     
     
 
 
 
     
     
 

«Старый» зловред прикрывается новым именем

Телекоммуникационный оператор «Ростелеком» сообщил через свой официальный сайт, что в течение последних нескольких дней российскими интернет–провайдерами, в том числе и самой компанией «Ростелеком», был зафиксирован ряд случаев заражения компьютеров пользователей вредоносным программным обеспечением, блокирующим доступ к сети Интернет якобы из-за «перегрузки каналов» связи. Злоумышленники при этом используют поддельные страницы, сделанные по образцу страниц официальных сайтов провайдеров, в том числе «Ростелекома», на которых для снятия блокировки доступа предлагают отправить SMS на определенный номер. Как показал опрос производителей антивирусного ПО и интернет-провайдеров, используемое злоумышленниками вредоносное программное обеспечение относится к классу так называемых троянцев «блокираторов» и этот тип зловредов уже известен несколько лет и является одной из наиболее серьезных вирусных проблем для российских пользователей. Необычность же мошеннической схемы заключается в том, что для выманивания денег злоумышленники пользуются брендом телекоммуникационного оператора (в данном случае «Ростелекома»). Эксперты не исключают в дальнейшем появления аналогичных троянцев, использующих названия других провайдеров или операторов сотовой связи.

Как уже говорилось, в официальном сообщении оператора «Ростелеком» отмечается, что российскими интернет–провайдерами был зафиксирован ряд случаев заражения компьютеров пользователей вредоносным ПО, блокирующим доступ к сети Интернет якобы из-за «перегрузки каналов» связи. После заражения компьютера данное ПО предлагает абонентам активировать «резервные каналы» подключения к Интернет путем указания номера своего мобильного телефона или с помощью отправки SMS.

«Ростелеком» предупреждает пользователей о том, что данное ПО является компьютерным вирусом, который был написан для реализации мошеннической схемы по получению незаконных доходов. «Ростелеком» никогда не оказывал услуг по предоставлению и активации резервных каналов доступа в Интернет путем отправки кодов в SMS -сообщениях.

Фальсифицированные страницы, сделанные по образцу страниц официальных сайтов провайдеров, в том числе «Ростелекома», никогда на сайтах компаний–провайдеров не располагались и содержат информацию, не соответствующую действительности. Эти страницы показываются из-за подмены IP-адреса доменов типа rostelecom.ru локально на компьютере пользователя (например, через файл hosts).

При заражении компьютера пользователя упомянутым ПО и появлении подобных страниц с предложением разблокировать доступ в Интернет путем указания номера своего мобильного телефона или с помощью отправки SMS «Ростелеком» рекомендует не направлять номера своих мобильных телефонов или SMS для разблокировки доступа в Интернет и как можно скорее проверить свои компьютеры с помощью антивирусного ПО на наличие вируса и удалить его.

«Ростелеком» намерен решать возникшую проблему в тесном взаимодействии с российскими производителями антивирусного ПО, а также обратиться в уполномоченные органы для установления авторов данного вредоносного ПО, чтобы предъявить им претензии в установленном законом порядке», - говорится в сообщении «Ростелекома».

Опрос разработчиков и производителей антивирусного ПО показал, что об этой угрозе им уже известно и с их стороны приняты соответствующие меры. В частности, руководитель отдела антивирусных разработок  компании Dr.Web Сергей Комаров  относительно данной ситуации рассказал следующее: «В конце прошлой недели в нашу службу технической поддержки поступили несколько обращений от пользователей сети  «Ростелеком» в связи с невозможностью подключения к Интернету. При попытке соединиться с сетью в окне браузера демонстрируется текст следующего содержания: «Канал вашего района перегружен, и мы вынуждены ограничить загрузку некоторых сайтов на время пока канал не будет разгружен. Мы активно работаем над увеличением канала, однако это займет некоторое время. Если работа в сети Интернет на текущий момент для вас критична, вы можете подключить резервный канал вашего района. Чтобы подтвердить намерение и крайнюю необходимость перейти на резервный канал ответьте на входящее SMS-сообщение». Далее пользователю предлагается ввести в специальную форму номер мобильного телефона, на который ему будет передано SMS-сообщение».

По словам Сергея Комарова, проведя анализ данной ситуации было установлено, что причиной этого явления стало заражение троянской программой, известной под именем Trojan.Mayachok.1. Один из способов распространения троянца - сообщения социальной сети «В Контакте»: пользователям предлагается скачать документ в формате .rtf, рассказывающий якобы о специальной программе для просмотра данных о посещающих страницу пользователя гостях. Этот документ содержит ссылку, по которой и загружается вредоносная программа. Попадая на компьютер пользователя, данный троянец блокирует нормальную работу браузеров, подменяя запрашиваемые веб-страницы указанным сообщением. Сигнатура данной угрозы имеется в вирусных базах антивируса Dr.Web и уверенно распознается при сканировании дисков компьютера.

Вредоносные программы из разряда троянов «блокираторов» (к примеру, различные модификации вируса Trojan Winlock) известны разработчикам антивирусного ПО уже давно, однако следует отметить, что в основном эти зловреды маскируются под системные сообщения якобы от компании Microsoft и пользователю сообщается о блокировании Windows  с последующим предложением «заплатить за разблокировку». В данном же случае троян «блокиратор» маскируется под сообщения от имени интернет-провайдера (в данном случае «Ростелекома»).

В «Лаборатории Касперского» комментируют эту ситуацию следующим образом: «Сами по себе троянцы-блокеры уже известны несколько лет и являются одной из наиболее серьезных вирусных проблем для российских пользователей. В настоящий момент нами насчитывается несколько сотен различных семейств «блокеров», которые тем или иным образом препятствуют нормальной работе компьютера и вымогают деньги за восстановление работы. Тема «Ростелекома» используется впервые, однако это является отражением попыток киберпреступников придумать новые трюки для обмана пользователей. Не исключено появления аналогичных троянцев, использующих названия других провайдеров или операторов сотовой связи. За рубежом, кстати, уже были зафиксированы случаи появления «блокеров», выдающих себя за программы от германской полиции или организаций, борющихся с пиратством. Как видно, в каждой стране мира есть своя специфика того, на какие трюки пользователи попадаются лучше», - говорит главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев.

Александр Гостев также отмечает, что вредоносная программа, о которой идет речь в данном случае, уже известна «Лаборатории Касперского» и ее детектирование было добавлено в антивирусные базы несколько дней назад. «При помощи нашей системы KLoud (Kaspersky Security Network) мы можем видеть распространение данного троянца в динамике и в настоящий момент отмечаем несколько тысяч инцидентов в России с данным троянцем за период в последние четыре дня», - комментирует Александр Гостев.

Кроме того, главный антивирусный эксперт «Лаборатории Касперского» говорит следующее: «Официального обращения от «Ростелекома» в нашу компанию в настоящий момент не поступало. Также не было обращений от других интернет-провайдеров. Стоит заметить, что в подобных вирусных инцидентах взаимодействие и сотрудничество между нами и интернет-провайдерами, может строиться на трех вещах: Предоставление нам образцов вредоносных программ для добавления детектирования и лечения. Разработка нами отдельных инструментов и рекомендаций для пользователей, для восстановления работоспособности пораженных компьютеров. Проведение нами экспертизы для правоохранительных органов, в случае если будет возбуждено уголовное дело по факту распространения вредоносной программы и нанесения ущерба пользователям.

«Ростелеком» поступил совершенно правильно в данной ситуации, опубликовав предупреждение на своем сайте. Троянец наносит не только финансовый ущерб пользователям, каждый из которых, отправляя SMS за «разблокировку» будет терять несколько сотен рублей, но и репутационный ущерб самому «Ростелекому», - комментирует Александр Гостев.

Представители других российских телекоммуникационных операторов относительно активизации указанного зловреда говорят следующее: «Вид вирусных атак, при котором производители вредоносного ПО вынуждают пользователей отправлять SMS на короткие номера появился около полутора лет назад, в нем нет ничего нового. Вывод специальных «фальсифицированных» страниц провайдера – только один из приемов злоумышленников для получения доходов путем введения абонентов в заблуждение. В МТС создана специальная рабочая группа по информационной безопасности, которая регулярно отслеживает все возможные вирусные атаки и активность распространения вредоносного ПО среди абонентов ШПД группы компаний МТС. В настоящее время специалистами компании не зафиксировано значительного количества обращений, носящих массовый характер, по поводу запросов об активации резервных каналов. МТС настоятельно рекомендует абонентам использовать и постоянно обновлять антивирусные программы, которые в большинстве случаев помогают избежать заражения персонального компьютера подобным вирусом. Для ШПД-абонентов компания предлагает «МТС.Антивирус 9», - говорит директор по проектам отдела защиты конфиденциальной информации группы компаний  МТС Дмитрий Костров.

Автор: Денис Шишулин (info@mskit.ru)

Рубрики: Интернет, Безопасность

Ключевые слова: Лаборатория Касперского, Касперский, Dr Web, троян, вирус, зловред, безопасный интернет, безопасность, Kaspersky, Ростелеком, информационная безопасность, вирусная активность, Доктор Веб, мошенничество, мошенничество в интернете, мошенничество смс

наверх
 
 
     

А знаете ли Вы что?

     
 

ITSZ.RU: последние новости Петербурга и Северо-Запада

MSKIT.RU: последние новости Москвы и Центра

NNIT.RU: последние новости Нижнего Новгорода