Rambler's Top100
 
 
Все новости Новости отрасли

Во «ВКонтакте» поселился троянец

11 июня 2013

Характер заражения пользователей соцсетей троянской программой Trojan.RpcTonzil принимает характер эпидемии - на сегодня эта вредоносная программа поразила не менее 50,000 участников  социальной сети «ВКонтакте».

По данным вирусной лаборатории Cezurity, заражению могут быть подвержены компьютеры под управлением операционных систем Microsoft Windows, причем как 32-битных, так и 64-битных. Интересно, что заражение причиняет вред только пользователям российских социальных сетей. 

В результате заражения злоумышленники получают целый ряд возможностей - от получения доступа к аккаунтам в социальной сети и последующей рассылки спама с взломанных страниц до похищения персональных данных пользователей и СМС-мошенничества.

Троянская программа Trojan.RpcTonzil модифицирует запросы компьютеров к DNS-серверу. В результате при попытке зайти в социальную сеть пользователь оказывается на специально созданной злоумышленниками фишинговой web-странице, которая имитирует и практически неотличима от страницы ВКонтакте, где сообщается о том, что аккаунт социальной сети был взломан. Злоумышленники предлагают создать новый пароль и верифицировать привязку своего номера мобильного телефона к аккаунту в социальной сети. Пользователей может обмануть адрес, который отображается в адресной строке браузера - он полностью соответствует правильному и возникает ощущение, что страница действительно принадлежит «ВКонтакте».

Троян также блокирует доступ к сайтам большинства антивирусных компаний и серверам обновления Microsoft. Таким образом, у антивирусных лабораторий зачастую нет достаточного количества данных для того, чтобы заметить распространение заражения. Отдельные варианты Trojan.RpcTonzil были обнаружены и детектировались антивирусными компаниями уже с начала марта этого года. Однако, на сегодняшний день распространение Trojan.RpcTonzil продолжается и большинством антивирусов вредоносная программа либо вообще не обнаруживается, либо детектируются лишь некоторые модификации.

Трудность обнаружения всех модификаций Trojan.RpcTonzil связана с тем, что в троянской программе используется достаточно сложная техника сокрытия от антивирусов. При этом на компьютеры жертв троянская программа может попадать различными способами. В некоторых случаях заражение может быть предотвращено встроенными в антивирусы поведенческими механизмами защиты.

"После заражения компьютера троянская программа существует только в зашифрованном виде. Ее расшифровка и автозапуск осуществляется с помощью небольшой модификации системной библиотеки rpcss.dll, - говорит Кирилл Пресняков, ведущий вирусный аналитик Cezurity, - троян использует технику заражения, похожую на метод EPO (Entry Point Obfuscation, скрытая точка входа). Большинство антивирусов не способно детектировать заражение, произведенное таким образом, то есть, не зная вируса "в лицо" - они могут обнаружить этот троян только по поведению. Осложняет детектирование и тот факт, что внедренный в системную библиотеку фрагмент носит условно-случайный характер".

"Эта троянская программа любопытна не как образец техники заражения - антивирусная индустрия давно знакома с похожими методами - говорит Алексей Чалей, генеральный директор Cezurity, - скорее история распространения трояна хорошо иллюстрирует сложившуюся в антивирусной индустрии ситуацию. Так, вредоносная программа известна уже три месяца, продолжает распространяться, однако, большинством антивирусных продуктов либо вообще не обнаруживается, либо они не способны корректно вылечить компьютер после заражения”.

Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.