Новые блокировщики сайтов

--> Дата: Окт 21, 2010 34

Компания «Доктор Веб» сообщила о широком распространении вредоносных программ семейства Trojan.HttpBlock, которые за восстановление доступа к популярным Интернет-ресурсам требуют отправить платное СМС-сообщение на короткий номер 6681. В настоящее время обращения по поводу лечения компьютера от Trojan.HttpBlock составляют у компании около 80% всех запросов в бесплатную техническую поддержку для пользователей, пострадавших от Интернет-мошенничества.

Начало распространения троянцев семейства Trojan.HttpBlock было зафиксировано 22 сентября. Заражая компьютер, эти вредоносные программы модифицируют системный файл hosts и тем самым блокируют доступ к сайтам.

Trojan.HttpBlock – новый виток развития троянцев, которые используют интернет-мошенники. Он учитывает и обходит сложности, с которыми злоумышленники сталкивались ранее. Так, в отличие от троянцев семейства Trojan.Hosts, которые также блокируют доступ к интернет-ресурсам, перенаправляя браузер на вредоносные сайты, Trojan.HttpBlock перенаправляет пользователя на Web-сервер, устанавливаемый на его же компьютере. Таким образом злоумышленники значительно упрощают себе задачу.

В самом деле, авторам Trojan.HttpBlock не нужно постоянно искать новый хостинг для страниц. Нет необходимости маскировать страницу под дизайн доверенного сайта, чтобы усыпить бдительность пользователя. Trojan.HttpBlock выводит в интернет-браузере текстовую страницу, на которой сообщается, что доступ в Интернет был заблокирован за посещение сайтов взрослой тематики, и для его восстановления необходимо отправить платное СМС-сообщение на короткий номер 6681.

Возникают сложности и при попытке воспользоваться утилитами для анализа зараженной системы: троянец завершает работу некоторых опасных для себя процессов в соответствии со списком, составленным авторами программы. При этом троянец рассчитан и на пользователей 64-разрядных систем – он имеет возможность завершать работу как 32-, так и 64-разрядных процессов в 64-разрядных версиях Windows.

В последних модификациях Trojan.HttpBlock вирусописатели шифруют некоторые строки, что затрудняет анализ соответствующих вредоносных файлов.

Распространяется Trojan.HttpBlock в виде дистрибутива медиаплеера Fusion Media Player через сайты с бесплатным контентом, как правило, предлагающие пиратское ПО. На таких сайтах часто открываются дополнительные всплывающие окна, некоторые из которых похожи на сайты с роликами для взрослой аудитории. При попытке проиграть любой из предлагаемых видеороликов предлагается скачать и установить видеоплеер. Если пользователь соглашается с этим предложением, то загружается дистрибутив в формате msi. Он действительно содержит Fusion Media Player, но вместе с плеером устанавливается и троянец.

В большинстве случаев для лечения системы достаточно сканирования с помощью бесплатной лечащей утилиты Dr.Web CureIt!

С начала распространения Trojan.HttpBlock в вирусную базу Dr.Web было добавлено более 30 модификаций данной вредоносной программы. Также была создана запись Trojan.HttpBlock.origin, использующая технологию Origins Tracing. Эта запись позволяет определять наличие в системе неизвестных модификаций данной вредоносной программы.