Новый троянец закрывает доступ к сайтам

Тема в разделе "Новости информационной безопасности", создана пользователем Severnyj, 19 дек 2012.

  1. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.597
    Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает о распространении нового представителя семейства вредоносных программ Trojan.BrowseBan. Этот троянец блокирует доступ на некоторые веб-сайты, мошенническим путем вынуждая пользователя оформить платную подписку на различные услуги.

    При запуске троянец Trojan.BrowseBan.480 проверяет, какие браузеры установлены на компьютере пользователя, а затем сохраняет на диск модули, в которых реализован его вредоносный функционал. Для браузера Microsoft Internet Explorer модуль реализован в виде файла динамической библиотеки, для Mozilla Firefox, Opera и Google Chrome — специального плагина, для функционирования которого троянец изменяет пользовательские настройки программы.

    В результате, при попытке открытия определенных сайтов в окне браузера троянец модифицирует отображаемую веб-страницу, и на экране компьютера демонстрируется окно, в котором пользователю предлагается ввести номер мобильного телефона, а затем — код, полученный в ответном СМС-сообщении. Таким образом, жертва соглашается с условиями подписки, согласно которым со счета ее мобильного телефона регулярно будет списываться определенная сумма.

    [​IMG]

    С недавних пор операторы «большой тройки» при подключении абонента к платным сервисам стали использовать специальные веб-страницы с информацией об условиях предоставляемых услуг и их стоимости. Поэтому для осуществления подписки Trojan.BrowseBan.480 использует официальные сервисы мобильных операторов «МТС» (moipodpiski.ssl.mts.ru) и «Билайн» (signup.beeline.ru), однако вредоносный скрипт скрывает «лишнюю» информацию, вследствие чего жертва видит лишь диалоговое окно, содержащее форму для ввода номера мобильного телефона. Например, вот так должна выглядеть страница оформления подписки, демонстрируемая оператором мобильной связи:

    [​IMG]

    А вот что видит пользователь компьютера, инфицированного Trojan.BrowseBan.480:

    [​IMG]

    Причем злоумышленники не поленились разработать уникальный дизайн окна для различных сайтов, которые может посетить жертва: среди них — страницы социальных сетей «ВКонтакте», «Одноклассники», «Мой мир», Facebook, популярные поисковые системы, почтовые службы «Яндекс.Почта», Gmail, Mail.ru, а также другие популярные ресурсы. Подписку осуществляет контент-провайдер ООО «Пластик Медиа», а оплата взимается якобы за доступ к службе анонимайзера http://4anonimz.ru, однако в силу того, что троянец скрывает подробную информацию о подписке, жертва об этом даже не догадывается.

    Пользователям продуктов Dr.Web этот троянец не угрожает — соответствующая сигнатура уже добавлена в вирусные базы.

    Источник
     
    5 пользователям это понравилось.
  2. Arbitr
    Оффлайн

    Arbitr Ассоциация VN

    Сообщения:
    3.604
    Симпатии:
    2.317
    то есть насколько я понимаю, это статические пути на допустим хост и генерация страницы... а не
    так как модификация это перехват и обработка куков, потому как если это работа с куками то поле для кибермошеничества открывается более чем широкое..и еще пол года назад говорил что ав венедерам надо уделить внимание на место сохранение, а точнее отработку сценариев.. то есть реализовать для них что то вроде песочницы.. хотя дальнейшие слова
    говорит что скорее это генерация страницы а не ее модификация..
    подождем пока эти сайты перейдут на хтмл5 где для них есть еще пару интересных возможностей например отображение пути в адресной строке браузера :) а точнее сайты могут и не переходить, достаточно чтоб браузер понимал 5.. и по накатанному сценарию...
     
  3. machito
    Оффлайн

    machito Команда форума Супер-Модератор

    Сообщения:
    1.906
    Симпатии:
    1.940
    По моему это уже всё в прошлом, имею ввиду номер телефона. Не для кого не новость что не в коем случае нельзя положительно реагировать на различного рода подписок!
     
  4. glax24
    Оффлайн

    glax24 Разработчик

    Сообщения:
    2.000
    Симпатии:
    1.450
    Порой ещё какая новость. Вот из последних знал и все равно отправил (сооб №14)
     
  5. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.219
    Симпатии:
    4.978
    Че я тоже отправлял,давненько правда было,несмышленыш еще был.
    А раз к знакомому ездил винлок снимал-он 2,5 тысячи зарядил за несколько подходов,код так и не получил))
    А жена стюардесса,а он ее ждал и решил кинчиком горячим разогреться,ну баннер и поимал с красноречивой фрмулировкой.
    Я не в зарулевом состояниии был,так что еще такси пришлось ему для меня оплатить.
    Но семейный вечер был спасен,а я провозглашен в лик спасителей...
     
  6. Arbitr
    Оффлайн

    Arbitr Ассоциация VN

    Сообщения:
    3.604
    Симпатии:
    2.317
    как мне сказал товарищ которому я на днях помог, 50 рублей то что он заплатил, для москвы не деньги.. а их там 20 миллионов непуганных идиотов... дальше считайте сами...
     
  7. Sfera
    Оффлайн

    Sfera Куратор обучения Ассоциация VN/VIP VIP

    Сообщения:
    6.327
    Симпатии:
    5.128
    следи за словами...

    У меня новый сосед сверху. Затопил, хад, неделю назад. Спустился по требованию, осмотрел поле битвы с потопом, развел руками :" Я только что из Рыбницы."
    Прям захотелось сразу билет на поезд ему купить в одну сторону
     
  8. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.053
    Симпатии:
    4.487
    Сочувствую, мне знакомо, когда вода льется из всех выключателей и люстр на потолке.
     

Поделиться этой страницей