«Маячок» крадет деньги

В Сети активизировался новый троянец, крадущий средства со счетов клиентов мобильных операторов, предлагая пользователям ответить на входящее SMS-сообщение. Об участившихся случаях заражения персональных компьютеров этой вредоносной программой сообщает компания «Доктор Веб». В ее базе угроза значится как Trojan.Mayachok.1.

Как сообщает российский антивирусный вендор, волна заражений была зафиксирована в конце прошлой недели. Пользователи столкнулись с невозможностью выйти в Интернет. Вместо запрашиваемых ими сайтов в окошке браузера появлялось сообщение: «Канал вашего района перегружен, и мы вынуждены ограничить загрузку некоторых сайтов на время, пока канал не будет разгружен... Если работа в сети Интернет на текущий момент для вас критична, вы можете подключить резервный канал вашего района. Чтобы подтвердить намерение и крайнюю необходимость перейти на резервный канал, ответьте на входящее SMS-сообщение».

Со счетов пользователей, последовавших указаниям злоумышленников и сообщивших свой номер мобильного телефона, а потом ответивших на входящее SMS-сообщение, тут же списывались средства.

При этом появлявшающаяся страница, на которой размещено это сообщение, имитирует страницу официального сайта провайдера Ростелеком, а также порталов YouTube, «В контакте», «Одноклассники», Mail.ru и других. «Во всех случаях при попытке открыть в браузере какой-либо сайт Trojan.Mayachok.1 перенаправляет пользователя на заранее определенный URL, демонстрируя в окне браузера веб-страницу, предлагающую «активировать» или «подтвердить» аккаунт, указав свой номер телефона и ответив на входящее SMS-сообщение», – говорится в сообщении производителя антивирусов.

Как уточняют в компании, один из подтвержденных методов распространения этой вредоносной программы – рассылка в социальной сети «В контакте», рекламирующая программу для просмотра посещающих страницу пользователя гостей. В описании программы есть ссылка, по которой и загружается троянец. Запустившись на инфицированном компьютере, он создает в папке system32 библиотеку с именем, сгенерированным на основе серийного номера текущего раздела жесткого диска, затем копирует себя во временную папку под именем flash_player_update.exe и начинает запускать этот файл с периодичностью в 10 секунд.

Затем троянец вносит изменения в системный реестр Windows и перезагружает компьютер. После этого Trojan.Mayachok.1 сохраняет в папку C:\Documents and Settings\All Users\Application Data\cf собственный конфигурационный файл, содержащий перечень блокируемых сайтов, адреса управляющих серверов и скрипты, которые встраиваются в запрашиваемые пользователем веб-страницы.

Троянец распознается антивирусами при сканировании дисков компьютера. Однако компания «Доктор Веб» рекомендует пользователям с осторожностью относиться к ссылкам на различные приложения, присутствующим в распространяемых среди пользователей социальных сетей рекламных рассылках.