• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Российские файлообменники начали распространять троянец Mayachok

Mila

Основатель
Сообщения
4,949
Симпатии
10,469
#1
Компания «Доктор Веб» cегодня предупредила о широком распространении на российских файлообменниках с помощью партнерской программы ZIPPRO архивов якобы с популярными версиями ПО, за которыми с недавних пор скрывается Trojan.Mayachok.1. Если раньше жертва этого мошенничества теряла только деньги, отправив платное СМС-сообщение чтобы открыть архив, то теперь она также получает на свой компьютер опасный троянец Trojan.Mayachok.1, а также популярный тулбар.

Как известно, партнерские программы в Интернете пользуются популярностью не только у рядовых пользователей, желающих сколотить себе капитал по-быстрому, но и у более крупных игроков. В частности, партнерские программы применяют вирусописатели и сетевые мошенники, о чем компания «Доктор Веб» не раз сообщала в своих новостях.

В феврале 2010 года специалисты «Доктор Веб» предупредили пользователей о партнерской программе ZIPPRO, предлагающей сервис для генерации платных архивов с «обложками», максимально правдоподобно имитировавшими интерфейс оригинальных инсталляторов различных популярных программ. Генератор представляет собой программное приложение, в котором можно настроить итоговый визуальный стиль, предусмотреть различные варианты оплаты. Таким образом, злоумышленники могут вложить в архив любой мусор и получить за это деньги.

Такие архивы Dr.Web детектирует как Trojan.SMSSend. Тем не менее, их авторы также не бездействуют, постоянно модифицируя и перепаковывая свои поделки. Об этом сообщается непосредственно с главной страницы ZIPPRO: «первая и единственная партнерская программа на рынке с защитой от антивирусов».

Пользователь, скачавший такой архив и для открытия его пославший платное СМС-сообщение на короткий номер, не получал ровным счетом ничего. Зато партнер ZIPPRO получал свой процент от прибыли сервиса. Таким образом была построена целая бизнес-схема, в рамках которой доходность от распространяемых архивов обеспечивалась платными СМС, подписками на ненужные мобильные услуги и их вариациями (псевдоподписки).

Впоследствии схема претерпела некоторые изменения — наряду с описанным выше архивы (теперь уже с различными вариантами бесплатного ПО) от ZIPPRO тихо и незаметно начали устанавливать тулбар «Спутник@Mail.Ru». Интересно, что создатели ZIPPRO обещают распространять по такой схеме и браузер «Интернет@Mail.ru».



Из таблиц, представленных выше, видно, что «партнеры» ZIPPRO уж точно не бедствовали. Однако, как часто это случается в России, в погоне за высокими прибылями владельцы сервиса и партнерской сети пошли еще дальше. За спиной у своих «партнеров» они решили получить доход с установки и более серьезных вредоносных программ. На данный момент всем пользователям, которые имели неосторожность скачать любой архив Trojan.SMSSend, кроме уже гарантированного тулбара от Mail.Ru, установят еще и Trojan.Mayachok.1. А «партнеры» собственными руками создают офлайн-ботнет для ZIPPRO.

По данным статистики лечащей утилиты Dr.Web CureIt!, лидирующие позиции в списке наиболее актуальных угроз за это лето занимает именно троянец Trojan.Mayachok.1, подменяющий пользователям наиболее популярные сайты при подключении к Интернету.


источник
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,434
Симпатии
8,699
#2
Вчерашний пациент на осзоне так попался. Я еще подумал, мало что ли прибыли от вымогательских смс-ок, так еще и Спутник.Майл туда прикрутили?)))
 

Сашка

Ветеран
Сообщения
4,610
Симпатии
2,348
#3
По данным статистики лечащей утилиты Dr.Web CureIt!, лидирующие позиции в списке наиболее актуальных угроз за это лето занимает именно троянец Trojan.Mayachok.1
звучит как издевательство, учитывая что CureIt как и раньше с маячком не справляется
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,434
Симпатии
8,699
#4
звучит как издевательство, учитывая что CureIt как и раньше с маячком не справляется
Сам не пробовал, а если из безопасного сканировать?
 

akok

Команда форума
Администратор
Сообщения
13,794
Симпатии
11,606
#5
Можно поэкспериментировать... хотя.
 

Сашка

Ветеран
Сообщения
4,610
Симпатии
2,348
#6
Severnyj, нет, со слов пользователей - вэб бодренько сообщает об удалении маячка - после перезагрузки он оказывается на месте
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,434
Симпатии
8,699
#7
Надо старого маячка взять и попробовать.
 

akok

Команда форума
Администратор
Сообщения
13,794
Симпатии
11,606
#8
Значит поток не убудет. Будем лечить и дальше.