Российские файлообменники начали распространять троянец Mayachok

Тема в разделе "Новости информационной безопасности", создана пользователем Mila, 15 авг 2012.

  1. Mila
    Оффлайн

    Mila Команда форума Основатель

    Сообщения:
    4.970
    Симпатии:
    13.602
    Компания «Доктор Веб» cегодня предупредила о широком распространении на российских файлообменниках с помощью партнерской программы ZIPPRO архивов якобы с популярными версиями ПО, за которыми с недавних пор скрывается Trojan.Mayachok.1. Если раньше жертва этого мошенничества теряла только деньги, отправив платное СМС-сообщение чтобы открыть архив, то теперь она также получает на свой компьютер опасный троянец Trojan.Mayachok.1, а также популярный тулбар.

    Как известно, партнерские программы в Интернете пользуются популярностью не только у рядовых пользователей, желающих сколотить себе капитал по-быстрому, но и у более крупных игроков. В частности, партнерские программы применяют вирусописатели и сетевые мошенники, о чем компания «Доктор Веб» не раз сообщала в своих новостях.

    В феврале 2010 года специалисты «Доктор Веб» предупредили пользователей о партнерской программе ZIPPRO, предлагающей сервис для генерации платных архивов с «обложками», максимально правдоподобно имитировавшими интерфейс оригинальных инсталляторов различных популярных программ. Генератор представляет собой программное приложение, в котором можно настроить итоговый визуальный стиль, предусмотреть различные варианты оплаты. Таким образом, злоумышленники могут вложить в архив любой мусор и получить за это деньги.

    Такие архивы Dr.Web детектирует как Trojan.SMSSend. Тем не менее, их авторы также не бездействуют, постоянно модифицируя и перепаковывая свои поделки. Об этом сообщается непосредственно с главной страницы ZIPPRO: «первая и единственная партнерская программа на рынке с защитой от антивирусов».

    Пользователь, скачавший такой архив и для открытия его пославший платное СМС-сообщение на короткий номер, не получал ровным счетом ничего. Зато партнер ZIPPRO получал свой процент от прибыли сервиса. Таким образом была построена целая бизнес-схема, в рамках которой доходность от распространяемых архивов обеспечивалась платными СМС, подписками на ненужные мобильные услуги и их вариациями (псевдоподписки).

    Впоследствии схема претерпела некоторые изменения — наряду с описанным выше архивы (теперь уже с различными вариантами бесплатного ПО) от ZIPPRO тихо и незаметно начали устанавливать тулбар «Спутник@Mail.Ru». Интересно, что создатели ZIPPRO обещают распространять по такой схеме и браузер «Интернет@Mail.ru».

    [​IMG]

    Из таблиц, представленных выше, видно, что «партнеры» ZIPPRO уж точно не бедствовали. Однако, как часто это случается в России, в погоне за высокими прибылями владельцы сервиса и партнерской сети пошли еще дальше. За спиной у своих «партнеров» они решили получить доход с установки и более серьезных вредоносных программ. На данный момент всем пользователям, которые имели неосторожность скачать любой архив Trojan.SMSSend, кроме уже гарантированного тулбара от Mail.Ru, установят еще и Trojan.Mayachok.1. А «партнеры» собственными руками создают офлайн-ботнет для ZIPPRO.

    По данным статистики лечащей утилиты Dr.Web CureIt!, лидирующие позиции в списке наиболее актуальных угроз за это лето занимает именно троянец Trojan.Mayachok.1, подменяющий пользователям наиболее популярные сайты при подключении к Интернету.


    источник
     
    9 пользователям это понравилось.
  2. Severnyj
    Онлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Вчерашний пациент на осзоне так попался. Я еще подумал, мало что ли прибыли от вымогательских смс-ок, так еще и Спутник.Майл туда прикрутили?)))
     
    5 пользователям это понравилось.
  3. Сашка
    Оффлайн

    Сашка Активный пользователь

    Сообщения:
    4.670
    Симпатии:
    2.650
    звучит как издевательство, учитывая что CureIt как и раньше с маячком не справляется
     
  4. Severnyj
    Онлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Сам не пробовал, а если из безопасного сканировать?
     
  5. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Можно поэкспериментировать... хотя.
     
  6. Сашка
    Оффлайн

    Сашка Активный пользователь

    Сообщения:
    4.670
    Симпатии:
    2.650
    Severnyj, нет, со слов пользователей - вэб бодренько сообщает об удалении маячка - после перезагрузки он оказывается на месте
     
  7. Severnyj
    Онлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Надо старого маячка взять и попробовать.
     
  8. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Значит поток не убудет. Будем лечить и дальше.
     

Поделиться этой страницей