Волна этих троянов покатилась по рунету весной 2009 года. В апреле месяце пользователи столкнулись с нарастающим потоком «смс вирусов», которые блокировали работу с Windows под самыми разными предлогами начиная от использования нелицензионной Windows, заканчивая предупреждением, что операционная система заражена вирусом или, что «Windows заблокирован, отправьте смс». Чтобы убрать назязчивое сообщение при загрузке Windows, вирус все также предлагал пользователю отправить смс на короткий номер, чтобы в ответ получить код разблокировки системы. Усугубило и без того непростую ситуацию попадание в широкий доступ конструктора для создания подобных троянцев-блокировщиков. После чего рунет захлестнула волна всевозможных поделок вирусописателей, а антивирусные компании должны были что-то спешно придумывать для борьбы с этим потенциально новым типом угроз. Ведь вирусописателям не составляет особо труда сделать свой смс вирус недетектируемым антивирусами на момент выпуска его в сеть Интернет. А после установки в систему и перезагрузки антивирус уже ничего не может сделать с sms блокировщиком, поскольку требование выкупа возникает еще до этапа загрузки антивируса. Первой отреагировала на новый тип угроз компания DrWeb, которая открыла у себя на сайте специальный , где начала публиковать типовые коды для удаления вирусов-вымогателей из системы. Между тем, с учетом масштабов распространения новой угрозы, в рунете сформировалась масса конференций и тематических блогов, где оказывалась помощь пострадавшим от смс вирусов. Примечательно, что первые версии данных троянов-вымогателей содержали в себе возможность самоудаления из системы спустя 2 часа после своего первого появления. Видимо, это было средством, которое позволяло затруднить попадание экземпляров данных троянцев в руки антивирусных компаний.P
Троян-блокировщик: Windows заблокирован, для разблокировки отправьте смс...
В целом, первые трояны-вымогатели доставляли не так много хлопот при удалении из системы. Если не справлялся штатный антивирус, то без особых проблем ранние «смс вирусы» можно было удалить через меню управления браузером. Удалению «sms вирусов первой волны» также способствовали такие бесплатные лечебные утилиты, как или , которые обладали достаточно хорошим сигнатурным детектом. Их использование было возможно без удаления штатного антивируса из зараженной системы, что в большинстве случаев позволяло пользователю избавиться от вредоносного баннера в барузере. Если же пользователь не мог удалить троян-вымогатель из своей системы подручными средствами, то существовала возможность относительно недорогого откупа от вируса. Стоимость смс редко превышала 600 рублей, хотя вымогатель обычно декларировал цену выкупа - не более 300 р. Правда, тут необходимо заметить, что откуп часто носил кратковременный характер, т.к. после успешной отправки sms сообщения, вирус показывался вновь спустя какое-то время
Чуть позже вирусописатели доработали данный информер-блокировщик, после чего он стал способен заражать уже такие популярные браузеры, как Mozilla Firefox или Opera. Причем зачастую информер устанавливался сразу во все имеющиеся в системе браузеры при проникновении в систему! Удаление информера проще всего происходило в браузере Mozilla, поскольку достаточно было лишь открыть меню расширений браузера и отключить там компонент информера. В Mozilla это можно сделать в п. Инструменты - Дополнения Расширения. В случае с Internet Explorer удалить информер тоже достаточно просто Для удаления информера в IE 8.0 нужно лишь открыть Свойства обозревателя Программы Настроить надстройки и здесь уже отыскать тот самый зловредный «смс вирус», после чего деактивировать вредоносный BHO через меню. Благо, файлы информера преимущественно имеют название, заканчивающееся на *lib.dll. Описание и копирайты файла информера имеют различные вариации, но по имени файла зловред достаточно легко обнаруживается и удаляется «на глаз». Труднее всего выполнить удаление «смс информера» в браузере Opera. В «Опере» информер прописывается в папку с пользовательскими java scripts, найти его в которой для неопытного пользователя оказывается не очень-то и просто. Не помогает даже переустановка Opera в ту же самую папку или чистка файлов конфигурации оперы в папке documents and settings. Чтобы удалить информер в Opera, нужно пройти в настройках по следующему пути: Инструменты Настройки Дополнительно Содержимое Настройки Java Script далее нужно лишь очистить всё лишнее в строке Папка пользовательских файлов Java script, где и прописывает свой автозапуск троянец-вымогатель.
рис. 2 P Порно информер в браузере
Подхватывали данный «sms вирус» поначалу лишь пользователи Internet Explorer, в который информер устанавливался под видом flash плагина или недостающего кодека для воспроизведения видео. Часто при посещении какого-либо ресурса, на который натыкались пользователи из поисковика google или яндекс, в браузере поверх сайта всплывало навязчивое окно с предложением бесплатно посмотреть видео эротического содержания. Если пользователь кликал на окошко, в силу вступали методы социальной инженерии (а выражаясь жаргонным языком начинался дальнейший «развод»). Пользователю демонстрировались заведомо интересные кадры из порнографического видео, а при выборе одного из них выводилось сообщение, что в браузере пользователя отсутствует flash plugin, или же система не имеет нужный кодек для воспроизведения видео. При этом «заботливый» сайт тут же предлагал скачать всё необходимое прямо на месте, забыв упомянуть, что скачивается вовсе не кодек или флеш-плагин, а знакомый нам информер. По своему исполнению данный смс-троян был довольно примитивен и представлял из себя зловредный BHO (Browser Helper Object), который при установке в систему регистрировался в расширениях Internet Explorer, а в дальнейшем автоматически запускался при открытии интернет обозревателя. Т.Е. первый массовый «вирус смс» представлял из себя обычную динамическую библиотеку (.dll файл), которая автоматически подгружалась в Internet Explorer при его открытии. Любопытен другой факт -сама библиотека троянца-вымогателя содержала лишь структуру выводимого окна, тогда как содержимое окна, выводимое информером, «подтягивалось» из сети Интернет. Запустив пораженный информером браузер на компьютере без доступа в интернет, пользователь вместо цветастого всплывающего окна информера мог увидеть лишь границы окна «информера» без его непосредственного содержимого, которое, очевидно, хранилось где-то на сервере злоумышленника.
Согласно наблюдениям автора данной статьи, трояны-вымогатели начали свое активное шествие по рунету еще в 2008 году. Хотя до этого и встречались случаи распространения троянских программ, вносивших неприятные видимые изменения в операционную систему с требованием вернуть «все как и было ранее» за определенную плату, но массовый характер распространения они не имели. Где-то же с весны-лета 2008 года пользователи активно начали сталкиваться с внезапным появлением в своем браузере (вначале этому был подвержен Internet Explorer, а потом и Mozilla Firefox вместе с Opera) неприятного всплывающего окна поверх любимых сайтов, в котором демонстрировалось порно-картинка с сопровождающим текстом типа: чтобы удалить информер, отправьте смс на номер ….в результате чего в ответ Вы получите код разблокировки. Данный информер не блокировал работу операционной системы и её компонентов, а лишь мешал путешествовать по интернету своим постоянным присутствием в нижней части экрана. Не то, чтобы это доставляло массу проблем, но в случае, когда зараженным компьютером в семье пользовалось несколько человек, это сразу вызывало подозрение у остальных членов семьи, что кто-то из пользователей недавно «походил по порнушке». Функционал данного трояна-вымогателя обычно имел процедуру самостоятельного удаления из системы по прошествии месяца «проживания» на зараженном компьютере. Логика злоумышленников-вымогателей тут была достаточна проста – если информер (по сути троян вымогатель, а по мнению большинства пользователей на тот момент компьютерный Pсмс вирус) просит отправить сообщение на платный номер в течение месяца, а пользователь никак не реагирует на эту просьбу, то пользователю на данный информер, скорее всего, начхать, а значит требовать отправить смс от такого пользователя далее бесполезно.P
Эволюция троянов вымогателей: порно информер в браузере
Трояны-вымогатели нашего времени: порнобаннеры, блокировщики и др.
Здравствуйте, гость! |
Онлайн-консультант
Как удалить порно баннер на рабочем столе | Трояны вымогатели (смс-блокеры Winlock): история, способы борьбы | Windows заблокирован, что делать? | Удаление троянов-блокировщиков с помощью Live CD
Комментариев нет:
Отправить комментарий