17 августа 2013. Рубрика Новости.

Новый троянец для Одноклассников и ВКонтакте

Твитнуть

Международный разработчик антивирусного программного обеспечения компания “Eset” сообщает о новых подробностях, связанных с троянской программой под названием “Win32/Bicololo”, которая нацелена на пользователей, которые пользуются российскими социальными сервисами.

Как рассказали в компании российскому изданию “CNews”, вирус “Win32/Bicololo.A” представляет собой троянскую программу, целью которой является кража персональной информации интернет-пользователей. Под видом ссылок данная угроза распространяется на графические файлы, у которых расширение “.jpg”. Во время активации этой ссылки вместо изображения начинает загружаться вредоносное программное обеспечение.

Вредоносная троянская программа, попав на компьютер, изменяет системный файл “hosts” для того, чтобы при попытке посещения какого-нибудь легального сайта скрытно перенаправить пользователя на фальшивую страничку, которая принадлежит злоумышленникам. Вся персональная информация, которая была введена пользователем на такой страничке, будет автоматически попадать к злоумышленникам.

В модифицированном троянской программой “Win32/Bicololo” системном файле “hosts”, были замечены ссылки, которые перенаправляли на популярные российские ресурсы “Вконтакте” и “Одноклассники”, а также на крупный коммуникационный портал российского Интернета на сервис “Mail.ru” — это означает, что угроза была направлена именно на пользователей этих российских ресурсов.

IP-адреса в изменённом системном файле “hosts”.

Как объяснили в антивирусной компании “Eset”, хотя в модифицированном системном файле “hosts” и содержатся адреса версии сайтов (“m.vk.com”, “m.ok.ru”, а также и другие) для мобильных платформ, угроза вирусной программы “Win32/Bicololo” не может распространятся на мобильные устройства и рассчитана только лишь на семейство операционных систем “Microsoft Windows”.

Специалистами компании в один день были обнаружены экземпляры описываемой модификации троянской программы “Win32/Bicololo” в четырёх различных странах Южной Америки: Аргентина, Бразилия, Колумбия и Чили. Собственно и поэтому первоначально предполагалось, что у данной угрозы латиноамериканское происхождение.

Несмотря на это, при детальном анализе данной угрозы подтверждается её российское происхождение, ведь в коде вирусной программы “Win32/Bicololo” можно повстречать комментарии на русском языке. Помимо всего прочего, один из файлов, который был создан вредоносной программой. содержит в себе фразу из песни – “стою у трапа самолёта”. Эта строчка принадлежит одной из известных песен – “Аэропорт”, которую впервые в 1987 году исполнил рок-музыкант, певец и композитор Александр Барыкин.

Ссылки на вредоносную троянскую программу “Win32/Bicololo”, которые замаскированы под графические файлы с расширением “.jpg”.

Согласно данным специалистов антивирусной компании “Eset”, сайты, которые размещены на доменах “.ar”, “.br”, “.cl” и “.co”, и используются для размещения на них вредоносной троянской программы, являются совершенно легальными платформами. Они были специально заражены вредоносными программами-взломщиками для распространения модификации программы “Win32/Bicololo”. По всей видимости, эти сайты обнаружились злоумышленниками путём автоматического сканирования на наличие уязвимостей, предполагают эксперты из международной компании “Eset”.

Кроме этого, преступниками в действиях кибератак использовались два сервера. На одном размещались фальшивые аналоги официальных страничек “Вконтакте”, “Одноклассники” и “Mail.ru”, а второй использовали для связи с вредоносной троянской программой. Эти серверы, киберпреступниками могли быть арендованными или же взломанными. Если судить по IP-адресам, то располагаются они за пределами стран Латинской Америки.

Семейство троянских вирусов “Win32/Bicololo” в 2013 году постоянно оказывается в рейтинге наиболее распространяемых в России вредоносных программ, который каждый месяц составляется аналитиками компании “Eset”. Различные модификации троянской вирусной программы “Bicololo” распространяться могут различными способами, замаскировавшись под вполне легальные приложения или информационные файлы. В компании “Eset” рекомендуют постоянно соблюдать осторожность в интернете, не открывать подозрительные ссылки в сообщениях от неизвестных Вам авторов, а также никогда не отключать антивирусное программное обеспечение.