Компания «Доктор Веб» — ведущий российский
разработчик средств информационной безопасности — предупреждает
пользователей об участившихся в последнее время случаях заражения
персональных компьютеров вредоносной программой Trojan.Mayachok.1.
Данный троянец крадет средства со счетов клиентов мобильных операторов,
предлагая пользователям ответить на входящее СМС-сообщение.
В конце прошлой недели была зафиксирована волна заражений, в ходе
которой пользователи неожиданно столкнулись с невозможностью выйти в
Интернет: вместо запрашиваемых ими сайтов в окне браузера
демонстрировалось сообщение: «Канал вашего района перегружен, и мы
вынуждены ограничить загрузку некоторых сайтов на время, пока канал не
будет разгружен. […] Если работа в сети Интернет на текущий момент для
вас критична, вы можете подключить резервный канал вашего района. Чтобы
подтвердить намерение и крайнюю необходимость перейти на резервный
канал, ответьте на входящее СМС-сообщение». Если пользователь
следовал указаниям злоумышленников и вводил свой телефонный номер в
соответствующую форму, а затем отвечал на входящее СМС, с его счета
незамедлительно списывались средства.
Были зафиксированы случаи блокировки доступа в Интернет с подменой
сайта «Ростелеком», однако этим аппетиты злоумышленников не
ограничивались: вот неполный список интернет-ресурсов, страницы которых
может подменить этот троянец: youtube.com, vkontakte.ru, odnoklassniki.ru, rostelecom.ru, support.akado.ru, my.mail.ru. Во всех случаях при попытке открыть в браузере какой-либо сайт Trojan.Mayachok.1
перенаправляет пользователя на заранее определенный URL, демонстрируя в
окне браузера веб-страницу, предлагающую «активировать» или
«подтвердить» аккаунт, указав свой номер телефона и ответив на входящее
СМС-сообщение.
Один из подтвержденных методов распространения данной вредоносной
программы — рассылка в социальной сети «В контакте», рекламирующая
программу для просмотра посещающих страницу пользователя гостей. В
описании этой программы имеется ссылка, по которой и загружается Trojan.Mayachok.1. Запустившись на инфицированном компьютере, троянец создает в папке system32
библиотеку с именем, сгенерированным на основе серийного номера
текущего раздела жесткого диска, затем копирует себя во временную папку
под именем flash_player_update.exe и начинает запускать этот
файл с периодичностью в 10 секунд. Затем троянец вносит изменения в
системный реестр Windows и перезагружает компьютер. После этого Trojan.Mayachok.1 сохраняет в папку C:\Documents and Settings\All Users\Application Data\cf
собственный конфигурационный файл, содержащий перечень блокируемых
сайтов, адреса управляющих серверов и скрипты, которые встраиваются в
запрашиваемые пользователем веб-страницы.
Данная троянская программа распознается при сканировании дисков
компьютера и потому не страшна пользователям Антивируса Dr.Web и Dr.Web
Security Space, а также Dr.Web Enterprise Security Suite и подписчикам
услуги «Антивирус Dr.Web». Если вы уже стали жертвой данного троянца,
обновите вирусные базы и проведите сканирование дисков вашего
компьютера. Кроме того, можно воспользоваться средством аварийного
восстановления системы
Компания «Доктор Веб» еще раз рекомендует пользователям с
осторожностью относиться к ссылкам на различные приложения,
присутствующим в распространяемых среди пользователей социальных сетей
рекламных рассылках.
