АнтиВірус » Вірус

Trojan.Winlock.3260 загрожує європоліцією

admin — Mon, 19 Sep 2011 09:40:52 +0000

Компанія “Доктор Веб” інформує користувачів про поширення нової версії троянця відомого сімейства Trojan.Winlock. Особливість даної загрози полягає в тому, що Trojan.Winlock.3260 орієнтований в першу чергу на зарубіжних користувачів і містить багатомовний текст блокуючих систему повідомлень, оформлених у вигляді послання від управління поліції країни, в якій проживає жертва.

Кількість відомих зразків троянських програм сімейства Trojan.Winlock вже давно перевалило за одинадцять тисяч, однак Trojan.Winlock.3260 є одним з небагатьох “вінлоков”, спочатку націлених на західних користувачів. У період з квітня по серпень 2011 було виявлено близько 120 різновидів даного троянця, які розрізняються методом шифрування, і демонструють на екрані повідомлення та іншу інформацію.

Головна особливість програми-здирника Trojan.Winlock.3260 полягає в тому, що він блокує екран користувача, блокуюче вікно містить послання, не просто написане на відповідній мові, але підписане нібито управлінням поліції країни, в якій проживає жертва: для Німеччини це Bundespolizei, для Великобританії – The Mertopolitan Police, для Іспанії – La Policìa Española. У всіх випадках користувача звинувачують у відвідуванні незаконних веб-сайтів порнографічного характеру та пропонують сплатити “штраф” з використанням однієї з поширених у даній країні платіжних систем.

Більшість зразків даних програм-вимагачів написано на мові С + + (за винятком декількох семплів, створених із застосуванням Visual Basic), вони використовують схожі імена змінних, функції API і тип шифрування, що дозволяє зробити висновок про належність цих зразків одному автору. Саме повідомлення виводиться на екран з HTML-документа, вбудованого в ресурси троянця. Після свого запуску Trojan.Winlock.3260 відстежує і блокує натискання сполучень клавіш, внаслідок чого стає неможливим використання таких комбінацій, як Ctrl + Alt + Del або Ctrl + F4.

Атаки на користувачів соціальної мережі “В контакті”

admin — Mon, 19 Sep 2011 09:15:44 +0000

На початку поточного тижня фахівцями компанії “Доктор Веб” був зафіксований черговий сплеск активності мережевих шахраїв щодо користувачів соціальної мережі “В контакті”. У першому випадку небезпеки піддавалися шанувальники популярної серед відвідувачів даної соціальної мережі гри «У могилі», у другому випадку шахраї задіяли для своїх цілей раніше зламані облікові записи.

Судячи з усього, зловмисники ретельно вибирають свої жертви серед шанувальників відомої гри “У могилі” – з числа користувачів соціальної мережі “В контакті” шахраї обчислюють найбільш досвідчених, “просунутих” гравців. Їм надсилається особисте повідомлення з пропозицією скористатися “вразливістю” цього додатка, що дозволяє безкоштовно отримати ігрові предмети, які в реальній грі можна придбати тільки за гроші. Для цього жертві пропонується завантажити і встановити спеціальний додаток. Якщо жертва погоджується скористатися настільки привабливою пропозицією, все подальше спілкування мережеві шахраї переносять в Skype. Вибір даного засобу комунікації невипадковий: трафік Skype не піддається фільтрації на відміну від інших протоколів миттєвого обміну повідомленнями, таких як ICQ або Jabber.

В ході подальшого спілкування зловмисники пропонують жертві завантажити і встановити додаток bag_vmogile.exe, під виглядом якого поширюється троянська програма Trojan.KeyLogger.9754, призначена для перехоплення натискань клавіш і відправки на віддалений FTP-сервер вкрадених таким чином паролів. При спробі відкрити даний файл відбувається миттєве зараження комп’ютера. Фахівці компанії “Доктор Веб” припускають, що поширюють троянця зловмисники з території України. На даний момент сигнатура даного троянця добавлена в вірусні бази “Доктор Веб”.

Крім того, мережеві шахраї продовжують експлуатувати широко відомий метод фішингу з використанням функції “Документи” соціальної мережі “В контакті”. Нічого не підозрюючому користувачеві надсилається особисте повідомлення, що включає посилання на скачування документа Word, в якому міститься докладна інструкція з встановлення спеціальної програми, нібито дозволяє переглядати число відвідувачів його сторінки в соціальній мережі. Під виглядом цієї програми поширюється троянець BackDoor.Piranha.2, за допомогою якого зловмисники створили кілька успішно діючих в даний момент бот-мереж.

Зламали сайт uTorrent.com і розмістили фальшивий антивірус

admin — Wed, 14 Sep 2011 15:34:19 +0000

Невідомі хакери 12 вересня зламали сайт популярного торрент-клієнта μTorrent і розмістили на ньому шкідливу програму, повідомляє BitTorrent Blog.

Зловмисникам вдалося внести зміни в механізм завантаження прорамного забезпечення з uTorrent.com. Користувачі, які намагалися завантажити клієнт μTorrent, замість нього отримували програму Security Shield, яка належить до класу так званих “фальшивих антивірусів”.

Фальшиві антивіруси маскуються під “справжнє” антивірусне програмне забезпечення і після установки виводять повідомлення про те, що на комп’ютері виявлені віруси. За “видалення вірусів” з користувача вимагають грошей.

Шкідлива програма протрималася на сайті близько двох годин, після чого її видалили адміністратори. Скільки людей за цей час встигли завантажити її на комп’ютери, не уточнюється. Користувачам, які в зазначений період заходили на сайт utorrent.com і скачували з нього програми, рекомендується провести повну перевірку комп’ютера.

Спочатку повідомлялося, що зламаний був також сайт торрент-клієнта BitTorrent, але пізніше ця інформація була спростована. Розробку BitTorrent і μTorrent веде одна і та ж компанія – BitTorrent Inc.

μTorrent вважається одним з найпопулярніших в світі торрент-клієнтів. Існують версії програми для Windows, Linux і Mac OS. Інтерфейс μTorrent переведений більш ніж на 60 мов, включаючи українську, білоруську і російську.

Вірус вимагає 100 євро за активацію Windows

admin — Sat, 10 Sep 2011 07:25:54 +0000

Фахівці G Data Software виявили новий вірус, який вимагає гроші користувачів.

Програма вимагає у користувачів заплатити 100 євро за активацію Windows.

Після зараження комп’ютера на його екрані з’являється повідомлення, в якому сказано, що операційна система Windows є не справжньої або не активованою.

Щоб позбутися цього повідомлення, користувачам пропонується заплатити 100 євро. Для оплати пропонується використовувати купони Ukash або Paysafecard.

Незважаючи на те, що у вікні-повідомленні представлені логотипи корпорації Microsoft, сама сторінка, з якої буде здійснюватися оплата, не належить компанії, вона не розташована на офіційній сторінці Microsoft.

Крім того, корпорація не повідомляє код активації Windows за допомогою SMS.

Попередньо вірус пропонує користувачам ввести в спеціальному вікні їхні дані – ім’я, номер телефону, електронна адреса і код активації Windows.

Цього не варто робити ні в якому разі, перевіряти достовірність активації можна тільки на офіційному сайті Microsoft.

Аналітики класифікували вірус як троян Trojan.Generic.KDV.340157 (Engine A) і Win32: Trojan-gen (Engine B).

Facebook під ударом

admin — Fri, 12 Aug 2011 10:00:55 +0000

Компанія ESET повідомляє про підвищене поширення шкідливої програми Win32/Delf.QCZ, яка заражає комп’ютер через соціальну мережа Facebook . Найбільш схильними до даної загрозу стали користувачі Україні, Росії, Білорусії та інші.

За даними компанії ESET, троянська програма-завантажувач Win32/Delf.QCZ отримала своє масове поширення в соціальній мережі Facebook. Під час проникнення на комп’ютер користувача ця загроза встановлює інше шкідливе програмне забезпечення. Для свого поширення Win32/Delf.QCZ використовує чат соцмережі, де з допомогою бота розсилає повідомлення від імені друзів з посиланням на ресурс, який містить зловмисне програмне забезпечення, наслідки зараження можуть бути різними – починаючи від втрати ідентифікаційних даних (логін-пароль від соціальної мережі), до крадіжки персональної інформації або фінансових коштів. Крім того, Win32/Delf.QCZ володіє функціоналом, здатним заблокувати антивірусний захист, якщо він не був вчасно оновлений.

На сьогоднішній день троянська програма Win32/Delf.QCZ отримала найбільше поширення в російськомовному сегменті Facebook, а саме серед користувачів з України (39% від загального числа), Росії (19%), Білорусії (9%).

Вірус пише розмови

admin — Wed, 03 Aug 2011 09:54:44 +0000

Фахівці з компанії CA Technologies повідомили про шкідливу програму, яка записує телефонні розмови власників смартфонів на платформі Android.

Як заявив у блозі CA Technologies співробітник компанії Дінеш Венканесан, додаток записує розмови і зберігає їх на картці пам’яті смартфона у вигляді файлів у форматі AMR.

Під час установки на пристрій програма створює конфігураційний файл, в якому перераховуються параметри віддаленого сервера. Дослідник не виключає, що можливе таємне відсилання аудіофайлів на цей сервер, де їх можуть прослухати зловмисники.

Судячи з опублікованими у блозі скриншотами, додаток носить назву Android System Messenger. З цього випливає, що автори замаскували його під системну утиліту. За якими каналами поширюється програма, не уточнюється, але в магазині Android Market її немає.

В Android Market є кілька десятків додатків з функцією запису телефонних дзвінків або голосу, проте створені ними аудіофайли зберігаються виключно в пам’яті пристрою.

“Макам” загрожує новий троян

admin — Mon, 07 Jun 2010 06:33:59 +0000

Компанія Intego попереджає користувачів про появу небезпечного трояна, який інфікує комп’ютери з операційною системою Apple Mac OS X.

Шпигун OSX / OpinionSpy представляє собою модифікацію шкідливої програми, створеної для Windows-платформ у 2008 році. Троян проникає на машину жертви разом з популярними програмами і скрінсейверами. Іноді він замаскований під “дослідницьку програму”, нав’язувану разом з легальним програмним забезпеченням, як засіб вивчення користувальницького попиту.

OSX / OpinionSpy позбавлений інтерфейсу і працює з root-привілеями (при інсталяції запитує пароль адміністратора). Потрапивши на персональний комп’ютер, шкідлива програма відкриває “чорний вхід” в систему і сканує доступний дисковий простір, аналізуючи файли. Крім того, моніторингу піддаються всі пакети, що передаються по локальній мережі, що дозволяє шпигунові зібрати інформацію про підключені до неї комп’ютерах.

Троян впроваджує свій код у додатки Safari, Firefox і iChat і перехоплює дані користувача. Зібрані відомості про власника персонального комп’ютера, його системі, звички і контактах потім надсилаються на сервери зловмисників. Користувачеві періодично доводиться відбиватися від запитів на надання інформації та заповнення анкет, які шпигун генерує у формі діалогового вікна. На довершення всього троян порушує нормальну роботу комп’ютера.