Спецпроекты

Безопасность Пользователю Интернет Веб-сервисы

Новое семейство троянов атакует пользователей Facebook

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщила о появлении вредоносных программ семейства Trojan.OneX, которые при заражении компьютера рассылают спам в социальной сети Facebook, а также через программы-мессенджеры. В настоящее время зафиксировано распространение двух модификаций этого трояна, незначительно различающихся по своим функциональным возможностям. По оценкам специалистов «Доктор Веб», количество жертв злоумышленников при такой модели распространения может быть крайне велико.

Trojan.OneX работает только в 32-разрядной версии ОС Windows, в 64-разрядной ОС он завершает работу после загрузки с управляющего сервера текстового файла. После запуска на инфицированной машине Trojan.OneX.1 проверяет наличие своей копии в операционной системе, а затем расшифровывает из собственных ресурсов адрес удаленного сервера, с которого загружается специальный текстовый файл. Этот файл содержит несколько строк на английском языке вида «hahaha! http://goo.gl[…].jpeg», на которые впоследствии будут подменяться сообщения пользователя, отправляемые им в социальную сеть Facebook. Сообщения заменяются строчками из данного файла только в режиме чата, при этом отправка оригинального послания блокируется. Каждый час троян загружает с удаленного сервера новый конфигурационный файл.

Trojan.OneX.1 ищет в операционной системе запущенные процессы с именами firefox, iexplore и IEXPLORE, при обнаружении полностью встраивается в них и перехватывает функции, отвечающие за отправку сообщений.

Вскоре после появления первой модификации трояна в распоряжении вирусных аналитиков «Доктор Веб» появился образец вредоносной программы, получившей название Trojan.OneX.2. В отличие от первой версии трояна, вторая модификация Trojan.OneX использует для отправки сообщений популярные программы-мессенджеры с помощью процессов pidgin, skype, msnmsgr, aim, icq.exe, yahoom, ymsg_tray.exe, googletalk, xfire.exe. В момент отправки сообщений на инфицированном компьютере блокируется мышь и клавиатура. В отличие от Trojan.OneX.1, Trojan.OneX.2 «умеет» работать с конфигурационными файлами в кодировке Unicode.

Среди рассылаемых троянами сообщений распространены ссылки на принадлежащие злоумышленникам поддельные сайты: один из них, в частности, имитирует оформление службы RapidShare. Пользователю предлагают скачать под видом изображения в формате JPEG zip-архив, в котором располагается Photo14.JPG.scr — исполняемый файл (Trojan.Packed.22289), содержащий в себе трояна BackDoor.IRC.Bot.1446. Эта троянская программа не только открывает злоумышленникам доступ к инфицированному компьютеру и способна похищать конфиденциальные данные, но и позволяет выполнять на зараженной машине различные команды, в частности, команду загрузки и установки других приложений. Примечательно: специалистами «Доктор Веб» были зафиксированы случаи распространения с помощью троянов BackDoor.IRC.Bot самой вредоносной программы Trojan.OneX, которая, в свою очередь, способствует дальнейшему распространению BackDoor.IRC.Bot.

Сигнатуры данных угроз уже добавлены в вирусные базы Dr.Web, благодаря чему пользователи антивирусного ПО компании «Доктор Веб» полностью защищены от опасности заражения этими вредоносными программами.

Татьяна Короткова

Короткая ссылка