Категория:
Новости :: 25-11-2011, 16:32
Антивирусной компанией G Data Software обнаружена новая атака опасного программного обеспечения в соцсети Facebook.
Множество пользователей получили сообщение, в котором говорилось, что при переходе по указанной ссылке они смогут увидеть свою бывшую девушку или, в случае, если в графе «пол» пользователя стоит «женский», молодого человека. Были и другие сокращенные линки, предлагающие посмотреть на красивые или смешные фото, однако результат был всегда одинаковым: когда пользователь переходил по ссылке, на его компьютер начинал загружаться файл, маскирующийся под формат .jpg . После загрузки на компьютере пользователя расширение файла не отображалось , а появлялась обычная иконка картинки .jpg формата.
Внимательный человек задумался бы о безопасности файла с несоответствием расширения и иконки, однако большинство пользователей, к сожалению, не замечают этого несовпадения. Реакция среднестатистического «юзера» вполне очевидна: он сразу же после того, как «картинка» загрузится, попытается открыть ее, чтобы увидеть обещанный в чате шокирующий или забавный снимок. И именно в этот момент начнется заражение: после нажатия на иконку файла на компьютер пользователя, ставшего в результате своей беспечности и излишнего любопытства жертвой, начинают загружаться вредоносные программы. Наибольшую опасность представляет то, что после этого начинается отправка файла всем друзьям пользователя по социальной сети. Таким образом, начинается полный цикл заражения. Единственные группы и магазины которые не подхватили данных вирус, были обувные - интернет магазин обуви можно посещать без опаски и покупать на весну обувь.
Сохранение и использование файла с вредоносными программами происходит в папке TEMP ОС Windows%%. Стоит отметить, что для того, чтобы пользователь не замечал вредоносной деятельности, вирус обманывает его второй раз, показывая поддельное уведомление, которое объясняет, почему загруженная картинка не открывается. Как сообщил Ральф Бенцмюллер, руководящий лабораторией защиты G Data Labs, в то время пока жертва считает, что файл с «картинкой» поврежден и, вероятно, удаляет его в корзину, в фоновом режиме на зараженный компьютер устанавливается вредоносное ПО. По сообщению Бенцмюллера, сотрудникам компании не удалось определить происхождение этого ПО, так как хакеры уже полностью подчистили область хостинга. Более того, для временного размещения файла ими использовался абсолютно легальный хостинг. Однако борцам с вирусами удалось определить файл-загрузчик: троянское ПО Trojan.Generic.KD.315917. Также Бенцмюллер отмечает, что загружаемые вредоносные файлы могут быть любого происхождения и вида: от бэкдоров до клавиатурных шпионов, банковских троянов и других. Способ заражения компьютера посредством трояна-загрузчика применялся и ранее, однако теперь эта атака может стать более существенной в связи с широким охватом соцсети Facebook.
