15.05.2017 
1125
Нещодавно в офіційній групі «ВКонтакте» компанії «Доктор Веб» стали часто з'являтися повідомлення рекламного характеру, в яких пропонувалося завантажити безкоштовні ключі для для активації антивірусне програмне забезпечення Dr.Web. Зазвичай такі повідомлення містять посилання на сервіс RGhost. При переході по посиланню спливає пропозицію скачати файл з розширенням .rar має обсяг близько 26 Кб. Такий спам не завжди вдається оперативно усунути, тому деякі користувачі попадаються на цю приманку.
У викачаному архіві міститься виконуваний файл під видом простого .txt документа. Зразки цих файлів, які були досліджені антивірусними аналітиками мають однаковий бекдор, але перед завантаженням його в інтернет вирусописатели завжди створювали новий архів, щоб на нього не зреагував антивірус. В результаті таких дій зловмисників вірус Trojan.MulDrop7.26387 якийсь час не ідентифікується Антивірусом Dr.Web, а починає розпізнаватися тільки після оновлення вірусних баз. Судячи з усього при поширення цього вірусу був розрахунок на те, що на інфікованому пристрої не буде антивірусне програмне забезпечення.
Після запуску цього файлу, вірус з'єднується зі своїм сервером і починає передавати на нього дані про виріб: наявність підключеного до ПК веб-камери, наявність і версію антивірусної програми, найменування виробника та ім'я пристрою, розрядність і версію встановленої ОС, серійний номер жорсткого диска і т.д. Крім того, цей вірус може виконувати такі команди від зловмисників:
- зміна шпалер на робочому столі;
- перезавантаження або вимкнення телефону;
- висновок на екран системне повідомлення з заготовленим текстом;
- перестановка функцій на кнопках миші;
- відтворення звукової фрази через голосовий синтезатор;
- приховування та відображення панелі завдань;
- відкриття і закриття приводу DVD / CD-ROM;
- включення і відключення монітора;
- відкриття в браузері вказану веб-сторінку;
- видалити, встановити або прочитати заданий значення системного реєстру;
- передача на сервер шахраїв знімків екрану;
- скачування і запуск зазначеного виконуваного файлу;
- оновлення або видалення виконуваного вірусного файлу;
Однією з найбільш небезпечний функцій є вбудований кейлоггер, який запам'ятовує натискання клавіш, а потім відправляє їх на сервер шахраїв. Також на інфікованому комп'ютері вірус може запускати SWF-ролики з шокуючим змістом.
Експерти «Доктор Веб» вказують на те, що подібні віруси, які спрямовані на те, щоб налякати або заплутати користувачів зустрічаються не так часто, так як основна мета такого шкідливого ПО - це отримання комерційної вигоди, а такі програми зазвичай пишуться підлітками, які володіють деякими навичками програмування.
Виходячи з таких випадків можна черговий раз отримати підтвердження того, що безкоштовний сир тільки в мишоловці, тому користувачам потрібно бути більш обачними і не ставати жертвами таких вивертів зловмисників.
PS Якщо у вас виникли проблеми комп'ютерними вірусами, звертайтеся в наш комп'ютерний сервіс або замовте виїзд комп'ютерного майстра .
Додати коментар
