Пару дней назад компания "Доктор Веб" опубликовала
на своем сайте информацию о крупномасштабной эпидемии сразу нескольких
модификаций вредоносной программы Trojan.Blackmailer,
вымогающей у своих жертв деньги. По словам специалистов, активное
распространение троянца в Интернете началось в конце марта текущего
года и в настоящий момент речь может идти о миллионах зараженных
компьютеров.
Trojan.Blackmailer альтернативные названия: Trojan.Generic.1371688,
Trojan-Ransom.Win32.Hexzone.aez,
BrowserModifier:Win32/Procesemes.A.dll, TR/BHO.Gen,
Trojan:Win32/Adclicker.M и др.) представляет собой плагин к
браузеру Internet Explorer, установка которого происходит не только при
посещении заранее подготовленных вредоносных варезных и
порнографических ресурсов. Заражение возможно и при посещении вполне
благонадежных сайтов, которые были взломаны злоумышленниками с целью
добавления к их страницам вредоносных скриптов, осуществляющих
инсталляцию троянского модуля в операционную систему путем
использования уязвимостей интернет-обозревателя. В ряде случае
пользователь сам санкционирует установку вируса, соглашаясь с
рекомендациями различных сетевых ресурсов загрузить на компьютер
какое-нибудь обновление, например, недостающий кодек для видеоплеера.
Проникнув на компьютер жертвы, Trojan.Blackmailer добавляет в Internet
Explorer порно-информер, частично или полностью перекрывающий
просматриваемые пользователем страницы, демонстрирующий картинки
фривольного содержания с рекламой "клубнички" и предлагающий владельцу
ПК отправить SMS на платный короткий номер и затем ввести полученный
код в специальную форму для деинсталляции вредоносного приложения.
Некоторые модификации троянца дополнительно блокируют доступ к
настройкам браузера, усложняя тем самым задачу удаления назойливого
информера.
Trojan.Blackmailer в действии (изображение с сайта компании "Доктор Веб")
"Доктор Веб" не советует идти на поводу у
злоумышленников и отправлять SMS с целью получения кода деинсталляции
информера (во-первых, стоимость отправки одного сообщения варьируется
от 150 до 300 рублей, а во-вторых, никаких кодов мошенники не
высылают). По словам специалистов компании, для удаления
троянца-вымогателя достаточно просканировать компьютер сканером Dr.Web
с актуальными базами или свежей версией антивирусной утилиты Dr.Web
CureIt! (избавиться от порно-информера можно также вручную,
воспользовавшись вот этими инструкциями). Во избежание заражения
разработчики "Доктора Веба" рекомендуют своевременно устанавливать
обновления для операционной системы и установленного на компьютере
программного обеспечения, а также настоятельно советуют для работы в
Интернете использовать альтернативные веб-браузеры.
Для того чтобы составить полную картину об опасности и масштабе
распространения в Сети программы Trojan.Blackmailer, автор статьи
обратился за комментариями к представителям российского рынка
антивирусных решений, и вот, что ему ответили.
Павел Потасуев, IT-директор компании ESET:
"В настоящее время вирусные аналитики ESET не зафиксировали массовых
заражений ПК программой с функционалом, сходным с Trojan.Blackmailer.
Однако создание подобных программ - далеко не редкость. Вирусописатели
стремятся заработать любым способом, и прямой шантаж пользователей -
самый действенный путь. Неприятный момент заключается в том, что для
вывода денежных средств используются SMS-сервисы. Отследить арендатора
короткого номера, на который доверчивый пользователь отсылает сообщение
SMS, практически невозможно. К сожалению, культура поведения в Сети в
нашей стране ещё не столь высока - пользователь зачастую не понимает,
что гораздо выгоднее установить лицензионную операционную систему и
защитное ПО, чем платить шантажистам".
Кирилл Керценбаум, руководитель группы технических специалистов Symantec в России и СНГ:
"Нет никакой эпидемии, и опасность преувеличена. По сравнению с
Conficker - это капля в море, от силы были заражены несколько тысяч
компьютеров. Также стоит отметить, что начиная с версии продуктов
Norton 2008, мы используем технологию Canary, которая просто
препятствует установке подобных плагинов для таких браузеров, как
Internet Explorer и FireFox".
Александр Гостев, руководитель центра исследований и анализа угроз "Лаборатории Касперского":
"На настоящий момент мы не располагаем информацией о случаях массового
заражения пользователей данным вредоносным ПО. Зловред не значится в
рейтинге 20 наиболее распространенных вредоносных программ,
детектированных на компьютерах пользователей, в марте 2009 года и не
представляет особого интереса: эксперты "Лаборатории Касперского"
писали про троянские программы с аналогичным функционалом ещё в ноябре
2008 года. Защититься от данной программы весьма просто: наши продукты
успешно её детектируют. Кроме того, упомянутый троянец использует
эксплойт только в браузере Internet Explorer - для пользователей
браузеров других производителей (Opera, Firefox) опасности он не
представляет. Тем не менее, мы настоятельно не рекомендуем
пользователям отправлять SMS на указанный короткий номер: вопрос
удаления программы таким образом не решится - в троянских программах не
реализована функция работы с "ответным кодом" - и деньги будут
потрачены впустую".
Как видите, по мнению
других игроков рынка антивирусного программного обеспечения, особой
опасности Trojan.Blackmailer не представляет. Достаточно всего лишь при
работе в Сети руководствоваться здравым смыслом, почаще наведываться на
сайт службы обновлений Windows Update и отказаться от повседневного
использования администраторского аккаунта операционной системы Windows.
Соблюдая эти простые правила, можно существенно снизить вероятность
заражения компьютера вредоносным кодом через Интернет.
Пару дней назад компания "Доктор Веб" опубликовала
на своем сайте информацию о крупномасштабной эпидемии сразу нескольких
модификаций вредоносной программы Trojan.Blackmailer,
вымогающей у своих жертв деньги. По словам специалистов, активное
распространение троянца в Интернете началось в конце марта текущего
года и в настоящий момент речь может идти о миллионах зараженных
компьютеров. 
