Компания «Доктор Веб» сообщает о новом троянце, который модифицирует сообщения пользователей российских соцсетей «ВКонтакте», «Одноклассники» и «Мой мир @ Mail.Ru».
Разработчик антивирусных решений компания «Доктор Веб» сообщила о распространении троянской программы, которая внедряется в сессии работы с российскими социальными сетями. К сообщениям пользователей зараженных систем, отправляемым через такие ресурсы, как «ВКонтакте», «Одноклассники» и «Мой мир @ Mail.Ru», прикрепляется строчка «Кстати, глянь: (ссылка на внешний ресурс)».
Прикрепленная ссылка ведет адресата на мошеннический web-сайт, предлагающий услугу предсказания судьбы по линиям ладони за платное SMS-сообщение. При отправке сообщения и подтверждении полученного в ответ секретного кода пользователь может получить платную подписку на премиумную услугу.
Сама троянская программа, по данным специалистов «Доктор Веб», распространяется через пиринговые торрент сети вместе с приложением для работы с архивами WinRAR. При установке программы в ее каталоге появляется «лишний» файл RarExtr.dll, который вызывается при запуске архиватора. Вредоносная библиотека помещает в системном каталоге Windows/System32 файл kbdfv.dll, содержащий троянца, идентифицируемого «Доктор Веб» как Trojan.Spamer.46.
Вредоносная программа выполняет поиск firefox.exe в списке запушенных процессов и, обнаружив его, внедряет содержимое своей библиотеки. После внедрения библиотек в процесс одного из самых популярных в России браузеров, Trojan.Spamer.46 осуществляет фильтрацию исходящего трафика в поисках форм отправки сообщений сайтов vkontakte.ru, odnoklassniki.ru и my.mail.ru, модифицируя отправляемые пользователем сообщения.
Подробно ознакомиться с уведомлением компании «Доктор Веб» можно здесь.
Источник: securitylab.ru.
|