Если прошлая неделя, по мнению нашей редакции, прошла под знаменем борьбы с хакерами, то на этой уже хакеры активно охотились за наивными пользователями. В первую очередь, за посетителями социальных сетей.
Все началось в среду, когда служба вирусного мониторинга компании «Доктор Веб» сообщила о настоящей эпидемии, затронувшей подписчиков «Вконтакте.Ру». Ее причиной стал опасный сетевой червь, определяемый антивирусом Dr.Web как Win32.HLLW.AntiDurov. Он рассылает с инфицированных машин другим пользователям сети ссылку на веселую картинку в формате jpeg, ведущую на ресурс злоумышленника, и копирует по ней «червивый» файл deti.scr.
Сохраняясь в папке C:Documents and Settings*UserDir*Application DataVkontakte под именем svc.exe, червь устанавливается в системе в качестве сервиса Durov VKontakte Service и ищет пароль доступа к сайту «Вконтакте.Ру» в cookies, используемых браузером. Если он находится, то червь получает доступ ко всем контактам своей жертвы в данной сети и рассылает по этим контактам все ту же ссылку.
Деструктивная функция вируса такова: 25 числа каждого месяца в 10 часов утра на экране инфицированных компьютеров будет выводиться следующее сообщение (орфография и пунктуация сохранены): «Павел Дуров Работая с «ВКонтакте.РУ» Вы ни разу не повышали свой рейтинг и поэтому мы не получили от Вас прибыли. За это Ваш компьютер будет уничтожен! Если обратитесь в милицию, то сильно пожалеете об этом!».
Одновременно с этим начнется удаление с диска C всех файлов. Лучшее, что может сделать юзер в этой ситуации – немедленно выключить питание компьютера. Так, по крайней мере, можно сохранить хотя бы часть данных.
К счастью, этот червь не выдержал испытания антивирусом Dr.Web, который легко распознавал svc.exe и удалял его из системы. После того, как специалисты «Доктора Веб» предупредили об опасности сайт «Контакте.Ру», распространение вируса практически прекратилось.
Однако, как только была отбита атака на одну сеть, началась атака на другую – «Одноклассники.Ру». Вчера на адреса ее абонентов начали поступать письма, подписанные различными именами. Скажем, «Доктор Веб» советует опасаться 22-летней москвички Глории Чернявской, а автор этих строк получил послание от ее ровесницы и землячки некоей Кристины Шавкуновой. Правда, внешность обеих девушек, если судить по вложенным фотографиям, абсолютно идентична, как и содержание их обращений: «Привет, Константин (Станислав, Марат, Андрей и так далее) :) Увидела твою анкету в списке «Друзей моих друзей» и решила попросить тебя о небольшом одолжении. Дело в том, что я участвую в конкурсе красоты «Мисс Рунет» и мне очень нужна поддержка. Если тебя не затруднит, зайди пожалуйста на сайт конкурса и проголосуй за меня. (Далее следует ссылка на соответствующий ресурс, которая модифицируется для разных пользователей – Прим.ред.)
Голосование абсолютно бесплатное, достаточно нажать на ссылку «Отдать свой голос». Победа в данном конкурсе для меня очень много значит, иначе бы я не стала обращаться с подобной просьбой. Заранее благодарю за помощь».
По указанной ссылке открывается окно с фотографиями претендентки и отзывами людей, якобы уже проголосовавших за нее. При попытке повторить их подвиг предлагается скачать файл fire-codec5107.exe (по классификации Dr.Web, это Trojan.MulDrop.16008). Будучи скачанным, троянец помещает на жесткий диск компьютера жертвы файлы notepad2.exe (BackDoor.Mbot), reebsd2.exe (Trojan.DnsChange) и сalc2.exe (Trojan.DnsChange). Скорее всего, инфицирование компьютера производится с целью использовать его для последующих спам-рассылок.
«По большому счету, назвать эти атаки каким-то из ряда вон выходящим событием в мире Рунета уже нельзя, –комментирует технический директор компании «Альфа Зеон» Владислав Гаген. –Сетевые преступники, особенно спамеры и веб-шантажисты, постоянно стараются пополнять состав своих бот-сетей, так как на сегодня это их основное средство получения прибыли. Социальные сети стали чрезвычайно популярны, рано или поздно они должны были привлечь внимание хакеров. Ну, а пользователям по этому поводу можно только еще раз повторить старые истины: думайте о том, что делаете. Средства безопасности Windows и браузеров, если они не отключены и регулярно обновляются, достаточно хорошо защищают систему от автоматического заражения. Например, в Vista нужно очень постараться, чтобы какая-либо программа смогла установиться без ведома пользователя. Linux же просто несовместим с exe-файлами. Поэтому чаще всего заражение компьютера – это результат необдуманных действий пользователя. Или, если речь идет об организации, некомпетентности администратора».
«Вирусы такого рода рассчитаны на очень неискушенных пользователей Интернета, – считает директор компании «Редсолюшн» Андрей Ненахов. – Любой мало-мальски грамотный в компьютерных вопросах человек обязан насторожиться, когда при нажатии на кнопке в веб-форме начинает загружаться какой-то непонятный файл. Если бы речь шла действительно о вирусе, я бы традиционно порекомендовал установить GNU/Linux. Но в данном случае это не поможет: разум, в отличие от глупости, границы имеет».