 |
Новыми жертвами вирусописателей стали пользователи трех веб-проектов, пришедших в Рунет из англоязычного сегмента Интернета. Американская социальная сеть MySpace, принадлежащая News Corp, запустила российскую версию в 2007 году. Аналогичный по функциям проект Hi5.com, созданный компанией comScore, доступен в русскоязычном сегменте сети с марта 2008 года. Что касается интернет-пейджера Windows Live Messenger, разработчиком которого является корпорация Microsoft, он был представлен российской аудитории летом 2006 года.
Во всех трех случаях вирусы были обнаружены компанией ESET. В ESET уточнили, что первый образец вредоносного ПО был выявлен вечером понедельника 25 августа 2008 года, и в ту же ночь вышло обновление сигнатур для антивирусных решений семейства ESET NOD32. Программа классифицирована как самореплицирующийся червь. Так, при проникновении на компьютер пользователя червь рассылает по контакт-листу Windows Live Messenger сообщение на испанском языке "Yo creo que esta es tu fotografia!" со ссылкой на загрузку вредоносного кода. При этом в письме содержится просьба открыть ссылку и скачать изображение автора письма. Как только получатель сообщения переходит по ссылке, червь добавляет себя в папку [HKLMSoftwareMicrosoftWindowsCurrentVersionRun] и сохраняется как %windir%winrofl32.exe. Данная сеть зараженных компьютеров использует протокол IRC на сервере, который в настоящее время располагается в Люксембурге.
В ESET подчеркивают, что зловредные программы, найденные в сетях MySpace и Hi5 и интернет-пейджере Windows Live Messenger, представляют собой схожий вирус, однако распространяется он в каждом случае по-разному. "В этом особенность данного червя — он легко модифицируется с учетом национальных особенностей (например, может варьироваться язык ключевого сообщения) и систем защиты различных ресурсов (злоумышленники предусмотрели возможность обхода антивирусных программ). Однако мы уверены, что эвристичеcкие технологии, используемые в продуктах компании ESET, позволят бороться не только с этой угрозой, но и с ее модификациями", - рассказал технический директор ESET Григорий Васильев.
Сообщение об угрозе появилось в корпоративном блоге ESET на сайте eset.com. Пока неизвестно, как отреагировали владельцы социальных сетей, но в компании уверены, что все меры для защиты пользователей будут приняты. В настоящее время вирус детектируется антивирусными продуктами ESET NOD32. Т.е. для пользователей данного ПО зловред не представляет опасности. Тем не менее, представители разработчика предупредили, что распространение программы в Интернете продолжается за счет незащищенных компьютеров и за счет клиентов других антивирусных компаний.
По мнению экспертов из ESET, последний случай заражения наверняка имеет причиной желание злоумышленников получить финансовую прибыль. "Создатели" червя преследовали исключительно коммерческие цели — массовое заражение пользователей с последующим созданием сети зомби-компьютеров (бот-сети) для проведения заказных распределенных DDoS- и спам-атак", - говорит Григорий Васильев.
Отметим, что атакованная вместе с Hi5 и Windows Live Messenger социальная сеть MySpace не так давно уже подвергалась нападкам злоумышленников. Так, в начале августа этого года, MySpace и ее основной конкурент Facebook были заражены вирусными программами Net-Worm.Win32.Koobface.a и Net-Worm.Win32.Koobface.b. Зловреды также заражали ПК пользователей, создавая ботнеты из "больных" компьютеров. Сетевые "черви" были обнаружены специалистами "Лаборатории Касперского". Немногим раньше, в конце июля, в рекламной сети MySpace был обнаружен зараженный баннер DeckOutYourDeck.com, кликая на который пользователи загружали на ПК троянскую программу. Позже баннер был удален.
Доказательством слов эксперта являются следующие данные: за летние месяцы 2008 года от вирусных атак несколько раз страдали пользователи двух социальных сетей Рунета: "вКонтакте.ру" и "Одноклассники.ру". Как правило, причинами эпидемий становились сетевые "черви", которые распространялись через зараженные ПК подписчиков другим пользователям. Так, пользователи могли обнаружить в почтовом ящике письмо с предложением перейти по ссылке, которая вела на ресурс злоумышленника. Как только пользователь оказывался на указанном сайте, вирус копировался в компьютер жертвы, неся в ПК заложенные в программу деструктивные функции.
Ни в одном из случаев заражения "вКонтакте.ру" и "Одноклассники.ру" не удалось подсчитать количество зараженных компьютеров. Однако эксперты уверены, что жертвами вирусописателей стали тысячи подписчиков. "Следует отметить, что распространение вируса в социальных сетях происходит стремительно за счет того, что здесь прочно прижилась иллюзия "достоверной среды". Т.е. пользователи уверены, что общение приходит от "своих" и поэтому распространение вируса затруднительно", - отмечает руководитель экспертной группы ГК "Антивирусный центр" Николай Ионов.
Эксперты в один голос советуют пользователям не терять бдительности и соблюдать первые заветы "компьютерной гигиены". "На своем компьютере нужно иметь актуальное антивирусное программное обеспечение. Ни в коем случае не стоит открывать ссылки в письмах пришедших из сколько-нибудь сомнительного источника. Даже если Вы получили письмо о том, что для Вашего аккаунта появились новые сообщения - лучше открыть их не переходя по ссылке, а через свой персональный раздел на сайте", - напоминает Николай Ионов.
