Trojan.Blackmailer: цифровой рэкетир
Компания "Доктор Веб" проинформировала о крупномасштабной эпидемии трояна Blackmailer, вымогающего у своих жертв деньги. Мы попытались разобраться, так ли страшен черт, как его малюют.
Автор: Андрей Крупин
| Раздел: Статьи |
Дата: 09 апреля 2009 года
Пару дней назад компания "Доктор Веб" опубликовала на своем сайте информацию о крупномасштабной эпидемии сразу нескольких модификаций вредоносной программы Trojan.Blackmailer, вымогающей у своих жертв деньги. По словам специалистов, активное распространение троянца в Интернете началось в конце марта текущего года и в настоящий момент речь может идти о миллионах зараженных компьютеров.
Trojan.Blackmailer (альтернативные названия: Trojan.Generic.1371688, Trojan-Ransom.Win32.Hexzone.aez, BrowserModifier:Win32/Procesemes.A.dll, TR/BHO.Gen, Trojan:Win32/Adclicker.M и др.) представляет собой плагин к браузеру Internet Explorer, установка которого происходит не только при посещении заранее подготовленных вредоносных варезных и порнографических ресурсов. Заражение возможно и при посещении вполне благонадежных сайтов, которые были взломаны злоумышленниками с целью добавления к их страницам вредоносных скриптов, осуществляющих инсталляцию троянского модуля в операционную систему путем использования уязвимостей интернет-обозревателя. В ряде случае пользователь сам санкционирует установку вируса, соглашаясь с рекомендациями различных сетевых ресурсов загрузить на компьютер какое-нибудь обновление, например, недостающий кодек для видеоплеера.
Проникнув на компьютер жертвы, Trojan.Blackmailer добавляет в Internet Explorer порно-информер, частично или полностью перекрывающий просматриваемые пользователем страницы, демонстрирующий картинки фривольного содержания с рекламой "клубнички" и предлагающий владельцу ПК отправить SMS на платный короткий номер и затем ввести полученный код в специальную форму для деинсталляции вредоносного приложения. Некоторые модификации троянца дополнительно блокируют доступ к настройкам браузера, усложняя тем самым задачу удаления назойливого информера.
Trojan.Blackmailer в действии (изображение с сайта компании "Доктор Веб")
"Доктор Веб" не советует идти на поводу у злоумышленников и отправлять SMS с целью получения кода деинсталляции информера (во-первых, стоимость отправки одного сообщения варьируется от 150 до 300 рублей, а во-вторых, никаких кодов мошенники не высылают). По словам специалистов компании, для удаления троянца-вымогателя достаточно просканировать компьютер сканером Dr.Web с актуальными базами или свежей версией антивирусной утилиты Dr.Web CureIt! (избавиться от порно-информера можно также вручную, воспользовавшись вот этими инструкциями). Во избежание заражения разработчики "Доктора Веба" рекомендуют своевременно устанавливать обновления для операционной системы и установленного на компьютере программного обеспечения, а также настоятельно советуют для работы в Интернете использовать альтернативные веб-браузеры.
Для того чтобы составить полную картину об опасности и масштабе распространения в Сети программы Trojan.Blackmailer, мы обратились за комментариями к представителям российского рынка антивирусных решений, и вот, что они нам ответили.
Павел Потасуев, IT-директор компании ESET: "В настоящее время вирусные аналитики ESET не зафиксировали массовых заражений ПК программой с функционалом, сходным с Trojan.Blackmailer. Однако создание подобных программ - далеко не редкость. Вирусописатели стремятся заработать любым способом, и прямой шантаж пользователей - самый действенный путь. Неприятный момент заключается в том, что для вывода денежных средств используются SMS-сервисы. Отследить арендатора короткого номера, на который доверчивый пользователь отсылает сообщение SMS, практически невозможно. К сожалению, культура поведения в Сети в нашей стране ещё не столь высока - пользователь зачастую не понимает, что гораздо выгоднее установить лицензионную операционную систему и защитное ПО, чем платить шантажистам".
Кирилл Керценбаум, руководитель группы технических специалистов Symantec в России и СНГ: "Нет никакой эпидемии, и опасность преувеличена. По сравнению с Conficker - это капля в море, от силы были заражены несколько тысяч компьютеров. Также стоит отметить, что начиная с версии продуктов Norton 2008, мы используем технологию Canary, которая просто препятствует установке подобных плагинов для таких браузеров, как Internet Explorer и FireFox".
Александр Гостев, руководитель центра исследований и анализа угроз "Лаборатории Касперского": "На настоящий момент мы не располагаем информацией о случаях массового заражения пользователей данным вредоносным ПО. Зловред не значится в рейтинге 20 наиболее распространенных вредоносных программ, детектированных на компьютерах пользователей, в марте 2009 года и не представляет особого интереса: эксперты "Лаборатории Касперского" писали про троянские программы с аналогичным функционалом ещё в ноябре 2008 года. Защититься от данной программы весьма просто: наши продукты успешно её детектируют. Кроме того, упомянутый троянец использует эксплойт только в браузере Internet Explorer - для пользователей браузеров других производителей (Opera, Firefox) опасности он не представляет. Тем не менее, мы настоятельно не рекомендуем пользователям отправлять SMS на указанный короткий номер: вопрос удаления программы таким образом не решится - в троянских программах не реализована функция работы с "ответным кодом" - и деньги будут потрачены впустую".
Как видите, по мнению других игроков рынка антивирусного программного обеспечения, особой опасности Trojan.Blackmailer не представляет. Достаточно всего лишь при работе в Сети руководствоваться здравым смыслом, почаще наведываться на сайт службы обновлений Windows Update и отказаться от повседневного использования администраторского аккаунта операционной системы Windows. Соблюдая эти простые правила, можно существенно снизить вероятность заражения компьютера вредоносным кодом через Интернет.