Користувачам соцмереж загрожує новий троян

Компанія «Доктор Веб» попереджає користувачів про появу шкідливих програм сімейства Trojan.OneX, які при зараженні комп`ютера розсилають спам в найбільшій в світі соціальної мережі, а також через програми-месенджери. В даний час зафіксовано поширення двох модифікацій цього троянця, незначно розрізняються за своїми функціональними можливостями. Кількість жертв зловмисників при такій моделі розповсюдження може бути вкрай велике.

Відео: Блокування Вконтакте, Однокласники, Яндекс / Вірус-вимагач Wanna Cry

Trojan.OneX працює тільки в 32-розрядної версії ОС Windows, в 64-розрядної ОС він завершує роботу після завантаження з керуючого сервера текстового файлу. Після запуску на інфікованій машині Trojan.OneX.1 перевіряє наявність своєї копії в операційній системі, а потім розшифровує з власних ресурсів адреса віддаленого сервера, з якого завантажується спеціальний текстовий файл. Цей файл містить декілька рядків англійською мовою виду «hahaha! https://goo.gl [...] .jpeg », на які згодом будуть підмінятися повідомлення користувача, надіслані їм в соціальну мережу Facebook. Повідомлення замінюються рядками з даного файлу тільки в режимі чату, при цьому відправлення оригінального послання блокується. Щогодини троянець завантажує з віддаленого сервера новий конфігураційний файл.

Trojan.OneX.1 шукає в операційній системі запущені процеси з іменами firefox, iexplore і IEXPLORE, при виявленні повністю вбудовується в них і перехоплює функції, що відповідають за відправлення повідомлень. Незабаром після появи першої модифікації троянця в розпорядженні вірусних аналітиків компанії «Доктор Веб» з`явився зразок шкідливої ​​програми, що отримала назву Trojan.OneX.2. На відміну від першої версії троянця друга модифікація Trojan.OneX використовує для відправки повідомлень популярні програми-месенджери за допомогою процесів pidgin, skype, msnmsgr, aim, icq.exe, yahoom, ymsg_tray.exe, googletalk, xfire.exe. У момент відправки повідомлень на інфікованому комп`ютері блокуються миша і клавіатура. На відміну від Trojan.OneX.1, Trojan.OneX.2 «вміє» працювати з файлами в кодуванні Unicode.

Відео: Як обійти блокування Telegram | Дуров пішов на поступки Роскомнадзор

Серед розсилаються троянцями повідомлень поширені посилання на належні зловмисникам підроблені сайти: один з них, зокрема, імітує оформлення служби RapidShare. Користувачеві пропонують завантажити під виглядом зображення у форматі JPEG zip-архів, в якому розташовується Photo14.JPG.scr - виконуваний файл (Trojan.Packed.22289), що містить в собі троянця BackDoor.IRC.Bot.1446. Ця шкідлива програма не тільки відкриває зловмисникам доступ до інфікованого комп`ютера і здатна викрадати конфіденційні дані, але і дозволяє виконувати на зараженій машині різні команди, зокрема, команду завантаження і установки інших додатків. Примітно, що були зафіксовані випадки розповсюдження за допомогою троянців BackDoor.IRC.Bot самої шкідливої ​​програми Trojan.OneX, яка, в свою чергу, сприяє подальшому поширенню BackDoor.IRC.Bot.