Записи с меткой «mamba.ru»

Новостной дайджест «Доктор Веб» — Trojan.Triosir.1 — очередной рекламный троянец

Posted: 11 февраля, 2014 in Антивирус, Доктор Веб, Новости, антивирусы, атака, компьютеры, поиск, пользователи, программы, софт, срочно, техника, угрозы
Метки:, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Dr.Web

10 февраля 2014 года

Специалисты компании «Доктор Веб» обращают внимание пользователей на то, что в последнее время чрезвычайно широкое распространение получили вредоносные программы, предназначенные для демонстрации в окне браузера навязчивой рекламы и подмены содержимого веб-страниц. Опасность подобных троянцев заключается прежде всего в том, что они демонстрируют рекламные объявления на популярных сайтах, к которым пользователи относятся с высокой степенью доверия, а среди рекламируемых ресурсов нередко встречаются мошеннические сайты и веб-страницы, замеченные в распространении вредоносного ПО. Одной из таких угроз является троянец Trojan.Triosir.1, о появлении которого компания «Доктор Веб» предупреждает пользователей.

Trojan.Triosir.1 распространяется с использованием ресурсов партнерской программы Installmonster вместе с различными приложениями и использует для своей установки инсталлятор Amonetize (amonetize.com). Функционал Trojan.Triosir.1 в целом схож с возможностями троянца Trojan.Zadved.1, о котором компания «Доктор Веб» уже рассказывала в одной из своих публикаций. Основное назначение Trojan.Triosir.1 — подмена содержимого просматриваемых пользователем веб-страниц посредством технологии веб-инжектов, при этом демонстрируемая троянцем реклама включает ссылки на различные мошеннические ресурсы. Основные модули троянца реализованы в виде плагинов (надстроек) к популярным браузерам. В частности, Trojan.Triosir.1 распространяется вместе с приложением для создания снимков экрана Screeny, устанавливающим в процессе своей инсталляции одноименный плагин для браузеров Mozilla Firefox, Chrome и Opera, который остается в системе даже после удаления основного приложения.

screenshot

Установленные в инфицированной системе плагины выполняют закачку основного файла вредоносного сценария с удаленного сервера. Данный сценарий, предназначенный для подмены рекламных модулей и встраивания в веб-страницы посторонней рекламы, начинает работать не сразу, а «выжидает» некоторое время, чтобы усыпить бдительность пользователя. При этом в его структуре прописаны специальные алгоритмы внедрения рекламы в страницы некоторых наиболее популярных интернет-ресурсов, например, социальной сети «ВКонтакте», «Одноклассники» и др. Вредоносный скрипт обладает достаточно продвинутым функционалом: например, он умеет получать информацию о поле и дате рождения пользователя из его профиля в социальной сети.

screenshot

screenshot

Среди рекламируемых троянцем ресурсов преобладают мошеннические сайты, подписывающие пользователя на различные услуги путем отправки на указанный им номер мобильного телефона СМС-сообщения с кодом подтверждения.

screenshot

Помимо наиболее популярных и посещаемых сайтов, Trojan.Triosir.1 умеет подменять рекламу и на веб-страницах, не входящих в «привилегированный список». При этом троянец обладает специальной функцией распознавания «плохих» с точки зрения рекламодателей сайтов с использованием специального фильтра ключевых слов — на таких ресурсах реклама не подменяется. Кроме того, Trojan.Triosir.1 специально ищет на веб-страницах и заменяет своими модулями рекламу нескольких партнерских сетей, среди которых — lcads.ru, marketgid.com, visitweb.com, luxup.ru, pcads.ru, gredinatib.info, fulldl.net, adcash.com, tbn.ru, и некоторые другие. Также в коде троянца предусмотрен набор правил, позволяющих «прятать» некоторые элементы на сайтах my.mail.ru, fotostrana.ru, loveplanet.ru, kinopoisk.ru, mamba.ru, go.mail.ru, love.mail.ru, auto.ru, otvet.mail.ru, sprashivai.ru и avito.ru.

Имеются основания полагать, что к созданию и распространению троянца причастна новосибирская компания Trioris, работающая по следующей схеме монетизации: компания отыскивает какое-либо приложение, договаривается с его разработчиками и, добавив в состав программы дополнительные плагины, занимается ее распространением, либо заключает договор дистрибуции с третьей стороной — например, компанией Amonetize, распространяющей Trojan.Triosir.1 с использованием возможностей партнерской программы Installmonster.

Сигнатура Trojan.Triosir.1 добавлена в вирусные базы Dr.Web и потому эта вредоносная программа не представляет серьезной опасности для пользователей антивирусных продуктов производства компании «Доктор Веб».

Источник

Медовые ловушки» для влюбленных в Интернете

Современный Интернет невозможно представить без всевозможных сайтов
знакомств, популярность которых довольно высока. Сегодня каждый пятый*
российский интернет-пользователь ежедневно посещает такие ресурсы.
Однако стремление найти вторую половинку умело используют в корыстных
интересах многочисленные мошенники и брачные аферисты, которые
расставили свои сети на просторах глобальной паутины. О том, как,
поддавшись минутному увлечению, пользователи рискуют не только заразить
компьютер вредоносной программой, но и потерять деньги, можно узнать в
статье эксперта «Лаборатории Касперского» Татьяны Куликовой.

Огромная популярность сайтов знакомств, таких как mamba.ru,
loveplanet.ru и других уже давно привлекает внимание злоумышленников.
Практически на всех языках мира рассылается спам, замаскированный под
сообщения от популярных сайтов знакомств. Пройдя же по ссылке из такого
письма, пользователь, как правило, рискует вместо фотографий незнакомки
или незнакомца загрузить на компьютер вредоносное ПО.

Нередко действия мошенников носят и целенаправленный характер. Так,
например, в последнее время в Рунете распространялись письма с
приглашением посетить сайты «для взрослых», якобы созданные
специально для пользователей odnoklassniki.ru. Название рекламируемых
ресурсов пародировало название этой социальной сети: odnopostelniki,
odnokrovatniki. Чтобы зайти на такой сайт, надо было воспользоваться
своим логином и паролем к «Одноклассникам». На деле же все
подобные страницы создавались мошенниками с целью заполучить аккаунты
пользователей известного социального ресурса.

Действия мошенников могут не только привести к потере важной информации,
но и больно ударить по кошельку пользователя. Своих жертв злоумышленники
зачастую ловят насайтах, имитирующих стартовые страницы сайтов
знакомств. Для регистрации на таком «ресурсе» или
подтверждения своего возраста (старше 18 лет) пользователю нужно
отправить на короткий номер SMS-сообщение стоимостью от 10 до 350
рублей. Однако после этого никакого доступа к контенту не
предоставляется, поскольку его просто не существует.

Самая колоритная разновидность спамерских писем, не утратившая своей
популярности у мошенников за многие годы, — так называемый
«нигерийский спам». В данном случае злоумышленники могут
отыскивать потенциальную жертву и среди тех, кто зарегистрировался на
сайте знакомств.

Обычно сюжет таких писем строится на том, что к получателю обращается из
далекой африканской страны влюбленная в него девушка, которая является к
тому же и обладательницей миллионного состояния.Чтобы вывести из страны
невесту и ее деньги, от будущего мужа требуется лишь определенная сумма
на оплату адвокатских услуг.Такая тактика обычно предполагает длительную
переписку. На первые письма претендентов на руку и сердце африканской
красавицы отвечают роботы, но как только становится понятно, что у
мошенников есть шанс поживиться, они сами включаются в переписку.Кроме
писем от «нигерийских красавиц» в почте встречаются
сообщения и от «русских невест», которым, в отличие от
прекрасных жительниц Африки, не хватает денег, чтобы встретиться с
мужчиной своей мечты, а потому они готовы принять пожертвования, как
правило, для оплаты билетов.

«Интернет дает прекрасные возможности для общения, однако стоит
помнить, что виртуальное пространство небезопасно для поиска
романтических отношений. Чтобы избежать разочарований, важно соблюдать
основные принципы безопасности:не посещать непроверенные сайты
знакомств, особенно, если они рекламируются в спаме; не открывать письма
от неизвестных отправителей; не отвечать на подозрительные письма, а
также использовать защитные средства, которые уберегут от скачивания
вредоносного ПО и перехода на фишинговый сайт», —
прокомментировала Татьяна Куликова.

Ознакомиться с полным текстом статьи Татьяны Куликовой можно на сайте
www.securelist.com/ru. *По данным исследования пользователей Интернета,
проведенного независимой исследовательской компанией «O+K»
специально для «Лаборатории Касперского» в мае 2012 года. В
ходе исследования было опрошено более 11 тысяч пользователей в возрасте
16+, проживающих в странах Латинской и Северной Америки, Европы,
Ближнего Востока, Азии и Африки.