Перейти к содержанию
AM_Bot

Блокировщики сайтов распространяются вместе с Fusion Media Player

Recommended Posts

AM_Bot

14 октября 2010 года

Компания «Доктор Веб» сообщает о широком распространении вредоносных программ семейства Trojan.HttpBlock, которые за восстановление доступа к популярным интернет-ресурсам требуют отправить платное СМС-сообщение на короткий номер 6681. В настоящее время обращения по поводу лечения компьютера от Trojan.HttpBlock составляют около 80% всех запросов в бесплатную техническую поддержку компании «Доктор Веб» для пользователей, пострадавших от интернет-мошенничества.

Начало распространения троянцев семейства Trojan.HttpBlock было зафиксировано 22 сентября 2010 года. Заражая компьютер, эти вредоносные программы модифицируют системный файл hosts и тем самым блокируют доступ к популярным сайтам.

Trojan.HttpBlock является новым витком развития троянцев, которые используют интернет-мошенники. Он учитывает и обходит сложности, с которыми злоумышленники сталкивались ранее.

В отличие от троянцев семейства Trojan.Hosts, которые также блокируют доступ к популярным интернет-ресурсам, перенаправляя браузер на вредоносные сайты, Trojan.HttpBlock перенаправляет пользователя на веб-сервер, устанавливаемый на его же компьютере.

Таким образом злоумышленники значительно упрощают себе задачу. В самом деле, авторам Trojan.HttpBlock не нужно постоянно искать новый хостинг для страниц. Также нет необходимости маскировать страницу под дизайн доверенного сайта, чтобы усыпить бдительность пользователя. Trojan.HttpBlock выводит в интернет-браузере текстовую страницу, на которой сообщается, что доступ в Интернет был заблокирован за посещение сайтов взрослой тематики, и для его восстановления необходимо отправить платное СМС-сообщение на короткий номер 6681.

Также возникают сложности при попытке воспользоваться утилитами для анализа зараженной системы: троянец завершает работу некоторых опасных для себя процессов в соответствии со списком, составленным авторами программы. При этом троянец рассчитан и на пользователей 64-битных систем – Trojan.HttpBlock имеет возможность завершать работу как 32-битных, так и 64-битных процессов в 64-битных версиях Windows.

В последних модификациях Trojan.HttpBlock вирусописатели шифруют некоторые строки, что затрудняет анализ соответствующих вредоносных файлов.

Распространяется Trojan.HttpBlock в виде дистрибутива медиаплеера Fusion Media Player через сайты с бесплатным контентом, как правило, предлагающие пиратское программное обеспечение. На таких сайтах часто открываются дополнительные всплывающие окна, некоторые из которых похожи на сайты с роликами для взрослой аудитории. При попытке проиграть любой из предлагаемых видеороликов предлагается скачать и установить видеоплеер.

Если пользователь соглашается с этим предложением, то загружается дистрибутив в формате msi. Он действительно содержит Fusion Media Player, но вместе с плеером устанавливается и троянец. Многие принимают решение устанавливать данный дистрибутив именно из-за того, что у него не exe-формат, а msi, т. к. среди пользователей существует стереотип о том, что вредоносные программы могут распространяться только в exe-формате. Тот факт, что видеоплеер в системе все же устанавливается, снижает вероятность того, что пользователь свяжет заражение системы с установленным плеером.

В большинстве случаев для лечения системы достаточно произвести сканирование с помощью бесплатной лечащей утилиты Dr.Web CureIt!

С начала распространения Trojan.HttpBlock в вирусную базу Dr.Web было добавлено более 30 модификаций данной вредоносной программы. Также была создана запись Trojan.HttpBlock.origin, использующая технологию Origins Tracing. Эта запись позволяет определять наличие в системе неизвестных модификаций данной вредоносной программы.

Кроме того, компания «Доктор Веб» на протяжении нескольких месяцев оказывает оперативную бесплатную помощь пользователям, пострадавшим от действий злоумышленников. За последнюю неделю из-за широкого распространения Trojan.HttpBlock количество обращений в бесплатную поддержку возросло приблизительно в три раза относительно среднесуточной нормы за последние несколько месяцев и составляет на настоящий момент около 80% всех обращений — от 250 до 300 и более в сутки.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Black Angel

Что-то робот картинки не подгрузил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

По-моему такое уже было.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Black Angel
По-моему такое уже было.

Про Fusion Media Player вроде не было. Было похожее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

И в чем отличие?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
И в чем отличие?

Отличие во многочисленных модификациях и... статистике, которая, как обычно, вызывает множество споров.

Фейк-антивирями уже никого не заманишь, потому пострадавшим выдаётся медиаплеер, вероятно в нагрузку или утешение...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.

Комод на тестовой машинке сэндбоксом залочил такое файло. Юзер скачал 4 копии :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Юзер скачал 4 копии

Виталий А деньги? А плеер? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
Виталий А деньги? А плеер? :)

Не знаю - ограниченная учетка в W7 :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Отличие во многочисленных модификациях и... статистике, которая, как обычно, вызывает множество споров.

Я, видимо, невнятно спросил. В чем отличие между этими двумя вредоносами? Которые вообще принадлежат одному семейству. "Отличие в многочисленных модификациях и статистике" - я вообще не улавливаю смысла.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Дмитрий, объясняю из первых рук. Обе новости - про одно и то же семейство вредоносных программ Trojan.HttpBlock. Первая новость была краткой, для Горячей ленты угроз, которая не транслируется в СМИ. Вторая новость была в основных новостях, которые распространяются по СМИ. Для неё был сделан подробный анализ. В частности, были найдены пути распространения, был сделан более подробный разбор функционала, были сделаны некоторые обобщения, была приведена статистика по обращениям. Результатом выпуска второй новости стало снижение обращений в бесплатную поддержку для жертв интернет-мошенничества в последние дни на порядок. Ибо в подавляющем большинстве случаев не нужно искать код разблокировки (в смысле его вообще искать не нужно). Достаточно просканировать CureIt!, что сейчас все и делают.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Valery Ledovskoy

Ну это одно и тоже. А то мне тут доказывали разницы какие-то.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr.Belyash
Дмитрий, объясняю из первых рук. Обе новости - про одно и то же семейство вредоносных программ Trojan.HttpBlock. Первая новость была краткой, для Горячей ленты угроз, которая не транслируется в СМИ. Вторая новость была в основных новостях, которые распространяются по СМИ. Для неё был сделан подробный анализ. В частности, были найдены пути распространения, был сделан более подробный разбор функционала, были сделаны некоторые обобщения, была приведена статистика по обращениям. Результатом выпуска второй новости стало снижение обращений в бесплатную поддержку для жертв интернет-мошенничества в последние дни на порядок. Ибо в подавляющем большинстве случаев не нужно искать код разблокировки (в смысле его вообще искать не нужно). Достаточно просканировать CureIt!, что сейчас все и делают.

Странно,а некоторые последние снятые с машин пользователей трояны (6681,вконтакт,майлру,яндекс и куча другого мусора) детектятся как Trojan.PWS.Ibank.

Для него ориджен будет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Странно,а некоторые последние снятые с машин пользователей трояны (6681,вконтакт,майлру,яндекс и куча другого мусора) детектятся как Trojan.PWS.Ibank.

Для него ориджен будет?

Если добавят соответствующие origin-записи в базу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • 7006605
      15 августа в Центре культуры им. Х. М. Темирканова в КБГУ открылась Международная летняя школа «Корни дружбы наших народов – в нашей истории». Школа проходит в третий раз при финансовой поддержке фонда «Русский мир» и продлится до 20 августа. В этот раз участниками форума стали студенты КБГУ, Брестского государственного университета им. А.С. Пушкина, Тбилисского государственного университета им. И. Джавахишвили, Южно-Казахстанского государственного педагогического университета, учащиеся классической гимназии г. Донецка, литературной студии «Свеча» и воспитанники Детской академии творчества «Солнечный город» г. Нальчика. От имени руководства гостей вуза поприветствовал исполняющий обязанности проректора КБГУ по воспитательной работе и социальным вопросам Артур Кажаров: «Тема и цель этой школы – развитие дружеских связей между народами посредством изучения совместной истории и культуры, очень гармонично вписывается в концепцию деятельности университета, стремящегося стать опорным центром науки, культуры, межнационального согласия в Кавказском регионе. Желаю вам взять от этой встречи все самое ценное и лучшее для вас и государств, которые вы представляете», — сказал Артур Кажаров. Инициатор и руководитель Международной летней школы — профессор, заведующая кафедрой русского языка и общего языкознания КБГУ Светлана Башиева поблагодарила гостей из Грузии, Республики Беларусь, Казахстана, Украины за то, что своим приездом выразили солидарность идеям встречи, и подчеркнула, что работа школы будет насыщенной и интересной. «Программа нашей работы предусматривает лекции по русскому языку, литературе, истории, проблемам межэтнической толерантности, вечер русской поэзии, конкурс сочинений, круглые столы на этнокультурную тематику и по молодежной политике, этнографический праздник в одном из районов республики «Нас объединяет русский язык». Отрадно, что это научное общение стирает границы не только между государствами, но и возрастные – в работе примут участие доктора наук, аспиранты, студенты и школьники», — отметила Светлана Башиева. В открытии Международной летней школы «Корни дружбы наших народов – в нашей истории» также приняли участие и выступили профессор Тбилисского государственного университета им. И. Джавахишвили Джони Квициани, заместитель декана филологического факультета Брестского государственного университета им. А.С. Пушкина, доцент кафедры русского языка и литературы Ольга Ковальчук, доцент кафедры русского языка и литературы Южно-Казахстанского государственного педагогического университета Уалихан Абдыханов, руководители республиканских национально-культурных центров «Вече», «Риони» и представители молодежных организаций.
    • PR55.RP55
      И это uVS точно не видит: HKU\S-1-5-21-1867217750-153899321-2446527166-1000\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Hipmy\Application\chrome.exe * Это из лога FRST  
    • dorin
      Ну например я имею дополнительный доход с интернете. Вот на этом  https://joycasinoclub.com/ портале  можно не плохо заработать. Мне он отлично подходит.      
    • seomasterpro
      Если позитивный отзыв о положительных качествах плагина "Anti-Malware Security and Brute-Force Firewall" для кого-то является пиаром, то пусть будет как вы считаете. Но главное ведь в том, что плагин позволяет не только обнаруживать вредоносный код, но и умеют  удалять его! Если кто-то из участников этой темы может привести другой пример, - напишите и расскажите его возможности. А когда кто-то пишет, что это просто пиар, то вы хоть прочтите название темы, - "Как защититься от взлома сайта?". Не стоит писать пустых предложений, а лучше пишите по-существу темы!!! Только читайте всегда название.
    • Molly01
      Можете воспользоваться специальным сервисом по поиску, достаточно знать хоть какие-то данные. Вот к примеру этот сайт https://bazaperson.ru/gorod/Moskva/ попробуйте, может поможет.
×