Trojan.Winlock пошел другим путем

Компания «Доктор Веб» распространила сообщение о том, что вирус-блокировщик Windows Trojan.Winlock (по классификации Dr.Web) нашел новый вариант распространения: в комментариях «Живого Журнала».

Жертва, нажимая на полученный комментарий «Немного о насущном в оффтоп» и так далее, попадает на сайт фотохостинга, откуда направляется на интернет-ресурс с порнографическим контентом, где предлагается загрузить exe-файл, за которым скрывается Trojan.Winlock. Очевидно, поскольку, написание и распространение вирусов для злоумышленников является бизнесом, то основное внимание они обращают к наиболее посещаемым блогам.

В компании «Доктор Веб» говорят, что финансовая схема, которой пользуются авторы Trojan.Winlock¸ претерпела некоторые изменения. Раньше Trojan.Winlock блокировал компьютер пользователя, выдавая сообщение с требованием перевести на специальный номер определенную сумму денег (как правило, 300-400 рублей). Сейчас злоумышленникам труднее использовать короткие номера, поэтому они ищут новые каналы. Все больше современных модификаций Trojan.Winlock не предполагают получения кода разблокировки от злоумышленников, о чем жертвы даже не предполагают. Как и прежде, от них требуют перевести деньги на определенный номер - только теперь он уже не короткий, а обычный. Оплатить в свою очередь просят через платежный терминал. Естественно, что в этом случае человек никакого кода разблокировки получить не может. Кстати, буквально недавно с подобным предупреждением выступил «Билайн»: Для получения SMS с кодом разблокировки мошенники просят  пополнить мобильный счет абонента «Билайн» в ближайшем пункте приема платежей.

«В схеме распространения данной вредоносной программы принципиально нового ничего нет и используются достаточно типовые приемы. Другое дело, что данный тип спама в комментариях разошелся достаточно массово в популярной социальной сети, что могло послужить причиной заражения многих пользователей», - сказал директор центра вирусных исследований и аналитики компании Eset Александр Матросов.

Компания SUP в курсе появления такого вида спама в LiveJournal, но полагает, что на данный момент он не носит массовый характер. «Его распространение зависит только от поведения пользователей, то есть от того, как они сами будут реагировать на эти привлекающие внимание картинки, - считает директор по развитию продуктов SUP Илья Дронов. - Для включивших защиту от спама подобные комментарии относятся к подозрительным и маркируются соответствующим образом, что не дает шансов на эпидемию. Если говорить именно о вирусах - серьезных всплесков не было, волны типизированного вида спама все же случаются, как и в любом востребованном и популярном сервисе».

Отметим, что SUP блокирует аккаунты, которые размещают спам. Например, можно  на ряде блогов встретить такое: «Ответ от пользователя, действие аккаунта которого приостановлено».

«Можно уверенно говорить об эпидемии Trojan.Winlock - практически половина всех обращений в нашу службу техподдержки с заражениями затрагивают эту тему, - прокомментировал руководитель отдела антивирусных разработок и исследований компании «Доктор Веб» Сергей Комаров. - Однако сколько из них пришло из ЖЖ, кликнув на злополучный комментарий (и попав на порнографический ресурс, где им предлагалось скачать exe-файл) пока достаточно сложно. По сути, этой схеме распространения Trojan.Winlock всего несколько дней. Есть ли угроза социальным сетям пока говорить об этом сложно. Однако, очевидно, что вирусописатели проявляют повышенный интерес к социальным сетям и в любой момент можно ожидать от них соответствующих активностей. К сожалению, такие примеры уже имеются. Оперативно добавлять их в свои базы способны не все производители антивирусов».

Ранее по этой теме:

21.01.2011 Сотовый оператор предупреждает о появлении новых видов мобильного мошенничества

15.12.2010 Вирусы снова научились удалять антивирусы

07.12.2010 «Великие» киберкомбинаторы в поисках наживы: вирусный ноябрь 2010 года