Информационная безопасность компьютерных систем и защита конфиденциальных данных
SecuRRity.Ru » Новости » Новый троян атакует пользователей «ВКонтакте»
Новости

Новый троян атакует пользователей «ВКонтакте»

автор: Administrator | 19 мая 2010, 13:10 | Просмотров: 13640
теги: ВКонтакте, троян, hosts, IP-адрес­



На прошлой неделе через социальную сеть «ВКонтакте» под видом нового приложения, изменяющего тему оформления персональной странички, начал распространяться троянец, модифицирующий на зараженном компьютере файл hosts ОС Widows.

Чтобы при открытии файла hosts данные, добавленные троянцем, не были видны сразу, они записаны в конец файла после пустой незаполненной области, получившейся в результате перевода строк.

В измененном файле hosts прописано около 100 наиболее популярных у российских пользователей сайтов.

Фрагмент измененного троянцем файла hosts
Новый троян атакует пользователей «ВКонтакте»


При попытке пользователя зараженного компьютера выйти на любой из этих сайтов (кроме vkontakte.ru), он перенаправляется на сервер, который выводит в браузере следующее сообщение, оформленное в стиле Web-антивируса Лаборатории Касперского:
Фальшивое сообщение KIS
Новый троян атакует пользователей «ВКонтакте»


Недавно Дмитрий Бестужев в своем блогпосте рассказал о фальшивом антивирусе с похожим на продукт «Лаборатории Касперского» оформлением. Как видим, интерфейс антивирусных решений используется злоумышленниками не только для распространения лже-антивирусов. В данном случае сообщение, очень похожее на сообщение KIS, используется, чтобы, не вызвав подозрений у пользователя, отослать его к поддельному сайту vkontakte.ru.

При попытке пользователя зайти на сайт vkontakte.ru, он перенаправляется на фальшивую главную страницу социальной сети. Расположена она на том же сервере, который выдает фальшивое сообщение KIS. Введенные логин и пароль отправляются злоумышленникам, после чего сервер возвращает информацию о якобы заблокированной странице пользователя — в связи с рассылкой с данного компьютера спам-сообщений. Для предоставления доступа к сайту пользователю предлагается отправить SMS на короткий номер:

Фальшивое сообщение о заблокированной странице пользователя соцсети ВКонтакте
Новый троян атакует пользователей «ВКонтакте»


Многие пострадавшие пытаются самостоятельно справиться с проблемой и ищут помощи на форумах, где им советуют в первую очередь найти и проверить файл hosts. Этот файл троянец делает скрытым, но в той же папке создает файл hosts.txt, видимый пользователям.

Текст, который в нем содержится, мошенники явно адресовали своим жертвам:
Новый троян атакует пользователей «ВКонтакте»


Если пользователь попадется на удочку мошенников и отправит платную SMS (цена которой, по свидетельству пострадавших, превышает указанные 100 руб.), полученный им код активации никак не изменит ситуацию: hosts файл на компьютерах жертв невозможно вернуть к исходному состоянию со стороны сервера.

Данный троянец детектируется «Лабораторией Касперского» как Trojan.Win32.Qhost.ncw и представляет собой .NET-приложение. При запуске, троян Trojan.Win32.Qhost.ncw создает файл %SYSTEM%\drivers\etc\hosts.txt на зараженном компьютере и ­модифицирует файл HOSTS (%SYSTEM%\drivers\etc\hosts), прописывая туда собственные соответствия. Это приводит к тому, что при обращении к перечисленным серверам, операционная система обнаруживает соответствия в файле HOSTS и направляет запросы на другой IP-адрес­.

Стоит напомнить что в начале декабря 2009 года, в открытом доступе был размещён файл содержащий логины и пароли от более 10 тысяч пользователей популярной социальной сети «ВКонтакте», а для того чтобы достичь своих целей, злоумышленники использовали аналогичный метод, модифицируя системный файл hosts.

И ещё, если Вредоносные программы заблокировали вход в систему Windows и требует отправить SMS, ни в коем случае НЕ платить преступнику и не отправить СМС-ки. Для того чтобы получить код активации и разблокировать Windows, нужно воспользоваться бесплатными разблокировщиками от троянских программ.

Не забывайте, что не так уж трудно сделать веб-серфинг более безопасным...




источник:
securelist.com
@ Zorro
19 мая 2010, 13:32 | |  
Аватар пользователя Zorro
карма: +713.014
комментариев: 39
новостей: 117
группа: Посетители
good
@ F15
20 мая 2010, 18:09 | |  
Аватар пользователя F15
карма: +26.02
комментариев: 3
новостей: 0
группа: Посетители
Разблокировка Windows, если вирус просит отправить смс (удаление trojan winlock вируса)
Компания ESET поможет бесплатно вернуть работоспособность компьютера, если он был заблокирован вредоносной программой, которая предлагает отправить платную SMS на указанный номер телефона, взамен обещая предоставить код для разблокировки ПК. На текущий момент база ESET содержит 63370 кодов разблокировки.

Чтобы получить код для разблокировки ПК, в ниже приведенной форме заполните данные, которые указаны в сообщении злоумышленников.

В поле «Номер телефона» укажите номер, на который предлагается отправить SMS (Вирус чаще всего просит отправить смс на номер 8353, 9691, 5121, 3649, 5373, 7122, 4125, 4460).

В поле «Текст сообщения» укажите текст, который предлагается отправить на этот номер.

Далее нажмите кнопку «Подобрать код».

На сайте отобразится код разблокировки, который необходимо ввести в окно вредоносной программы.

Если заполнить поле только «Номер телефона» без указания Текста сообщения, на сайте отобразятся все возможные коды для разблокирования ПК.


http://www.esetnod32.ru/.support/winlock/
@ Administrator
20 мая 2010, 19:06 | |  
Аватар пользователя Administrator
карма: +4677.676
комментариев: 239
новостей: 1005
группа: SysOp
@ F15,
Спасибо большое за Ваш комментарии, я уже обновил пост и добавил ссылку на сервис компании Eset.
@ Вика
23 мая 2010, 11:31 | |  
Аватар пользователя Вика
карма:
комментариев: 0
новостей: 0
группа: Гости
А что если при переходе по ссылкам высвечиваеться та же табличка касперского?????!
@ Administrator
23 мая 2010, 22:20 | |  
Аватар пользователя Administrator
карма: +4677.676
комментариев: 239
новостей: 1005
группа: SysOp
@ Вика,
Если у Вас появляется сообщение 'касперского' каждый раз переходя по разным ссылкам (в том числе и легальные сайты) — значит Ваш компьютер заражён. В противном случае — сайты посещаемые Вами, скорее всего, распространяют Вредоносные программы.
@ Вика
24 мая 2010, 17:28 | |  
Аватар пользователя Вика
карма:
комментариев: 0
новостей: 0
группа: Гости

у меня стоит nod32 и при сканировании ничего не находит!

Подскажите что мне делать! я уже все перепробовала! может антивирус переустановить?
@ Administrator
24 мая 2010, 18:59 | |  
Аватар пользователя Administrator
карма: +4677.676
комментариев: 239
новостей: 1005
группа: SysOp
@Вика,
Ваш компьютер заражён. Загрузите CureIt используя эту ссылку: setup.exe. Утилита не требует установки, просто запустите и сканируйте весь компьютер на наличие вирусов.
@ Zorro
25 мая 2010, 12:34 | |  
Аватар пользователя Zorro
карма: +713.014
комментариев: 39
новостей: 117
группа: Посетители
Вика, «ты не забудь отключить мышку, а то мышка заразиться и прочервиться» laugh
@ антон
22 июня 2010, 17:24 | |  
Аватар пользователя антон
карма:
комментариев: 0
новостей: 0
группа: Гости
как от этого трояна избавиться???
@ Administrator
22 июня 2010, 19:17 | |  
Аватар пользователя Administrator
карма: +4677.676
комментариев: 239
новостей: 1005
группа: SysOp
@антон,
От этого трояна, можно избавиться следующим образом:
1) Запускаем (с правами администратора) командную строку;
2) Вводим следующею команду и нажимаем ENTER:
echo # Copyright (c) 1993-1999 Microsoft>C:\Windows\System32\drivers\etc\hosts

3) Сканируем компьютер на наличие вредоносных программ;
@ PREDATORV
3 сентября 2010, 21:52 | |  
Аватар пользователя PREDATORV
карма:
комментариев: 0
новостей: 0
группа: Гости
Братва если есть у вас такая шняга делайте так заходите на браузер далее Инструменты/Настройки/Дополнительно/Сеть/Соединения/Настроить и ставим в АВТОМАТЕ строка по середине и все !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!


То что пишут они им только минус!!!!!!!!!!
АДМИН чиркни новую инфу проверенная сам делал для себя
@ Administrator
3 сентября 2010, 22:13 | |  
Аватар пользователя Administrator
карма: +4677.676
комментариев: 239
новостей: 1005
группа: SysOp
@PREDATORV,
В измененном файле hosts прописано около 100 наиболее популярных у российских пользователей сайтов.
@ катя
27 сентября 2010, 20:36 | |  
Аватар пользователя катя
карма:
комментариев: 0
новостей: 0
группа: Гости
15480380 на номер 6681
@ Olexandra
10 января 2011, 05:58 | |  
Аватар пользователя Olexandra
карма:
комментариев: 0
новостей: 0
группа: Гости
U299909948037
@ marchello
10 февраля 2011, 07:25 | |  
Аватар пользователя marchello
карма:
комментариев: 0
новостей: 0
группа: Гости
мой пк атаковал вирус троян и просит положить 500 рублей на номер билайна 89671913075 помогите пож....скажите что делать)))
@ Дима
10 января 2012, 22:16 | |  
Аватар пользователя Дима
карма:
комментариев: 0
новостей: 0
группа: Гости
Валидация аккаунта
Номер Вашего телефона нужен для того, чтобы мы смогли прислать Вам код подтверждения и убедиться в том, что Вы - реальная личность!

"Одноклассники" гарантируют, что информация о Вашем номере ни при каких обстоятельствах не будет разглашена или передана третьим лицам. Данная мера принята для того, чтобы оградить пользователей от автоматических спам-ботов.

Имея доступ к указанному номеру, Вы всегда сможете восстановить пароль к Вашей странице.

Услуга недоступна абонентам некоторым регионам Мегафона.

10 цифр
+7
ПМОГИТЕ РЕШИТЬ ВОТ ЕТУ ПРОБЛЕМУ ПЛИЗ ОЧ ПРОШУ !Пиште сюда как уё учтронить ! nicop66@mail.ru или в аську 594881782 или в скайп pingvin1431
Обратная связь

Информация


Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.