Начало распространения троянцев семейства Trojan.HttpBlock
было зафиксировано 22 сентября 2010 года. Заражая компьютер, эти
вредоносные программы модифицируют системный файл hosts и тем самым
блокируют доступ к популярным сайтам.
Trojan.HttpBlock является новым витком развития троянцев,
которые используют интернет-мошенники. Он учитывает и обходит
сложности, с которыми злоумышленники сталкивались ранее.
В отличие от троянцев семейства Trojan.Hosts, которые также блокируют доступ к популярным интернет-ресурсам, перенаправляя браузер на вредоносные сайты, Trojan.HttpBlock перенаправляет пользователя на веб-сервер, устанавливаемый на его же компьютере.
Таким образом злоумышленники значительно упрощают себе задачу. В самом деле, авторам Trojan.HttpBlock
не нужно постоянно искать новый хостинг для страниц. Также нет
необходимости маскировать страницу под дизайн доверенного сайта, чтобы
усыпить бдительность пользователя. Trojan.HttpBlock выводит в
интернет-браузере текстовую страницу, на которой сообщается, что доступ
в Интернет был заблокирован за посещение сайтов взрослой тематики, и
для его восстановления необходимо отправить платное СМС-сообщение на
короткий номер 6681.
Также возникают сложности при попытке воспользоваться утилитами для
анализа зараженной системы: троянец завершает работу некоторых опасных
для себя процессов в соответствии со списком, составленным авторами
программы. При этом троянец рассчитан и на пользователей 64-битных
систем – Trojan.HttpBlock имеет возможность завершать работу как 32-битных, так и 64-битных процессов в 64-битных версиях Windows.
В последних модификациях Trojan.HttpBlock вирусописатели шифруют некоторые строки, что затрудняет анализ соответствующих вредоносных файлов.
Распространяется Trojan.HttpBlock в виде дистрибутива
медиаплеера Fusion Media Player через сайты с бесплатным контентом, как
правило, предлагающие пиратское программное обеспечение. На таких
сайтах часто открываются дополнительные всплывающие окна, некоторые из
которых похожи на сайты с роликами для взрослой аудитории. При попытке
проиграть любой из предлагаемых видеороликов предлагается скачать и
установить видеоплеер.
Если пользователь соглашается с этим предложением, то загружается
дистрибутив в формате msi. Он действительно содержит Fusion Media
Player, но вместе с плеером устанавливается и троянец. Многие принимают
решение устанавливать данный дистрибутив именно из-за того, что у него
не exe-формат, а msi, т. к. среди пользователей существует стереотип о
том, что вредоносные программы могут распространяться только в
exe-формате. Тот факт, что видеоплеер в системе все же устанавливается,
снижает вероятность того, что пользователь свяжет заражение системы с
установленным плеером.
В большинстве случаев для лечения системы достаточно произвести сканирование с помощью бесплатной лечащей утилиты Dr.Web CureIt!
С начала распространения Trojan.HttpBlock в вирусную базу Dr.Web было добавлено более 30 модификаций данной вредоносной программы. Также была создана запись Trojan.HttpBlock.origin,
использующая технологию Origins Tracing. Эта запись позволяет
определять наличие в системе неизвестных модификаций данной вредоносной
программы.
Кроме того, компания «Доктор Веб» на протяжении нескольких месяцев оказывает оперативную бесплатную помощь
пользователям, пострадавшим от действий злоумышленников. За последнюю
неделю из-за широкого распространения Trojan.HttpBlock количество
обращений в бесплатную поддержку возросло приблизительно в три раза
относительно среднесуточной нормы за последние несколько месяцев и
составляет на настоящий момент около 80% всех обращений — от 250 до 300
и более в сутки.
Информация предоставлена компанией Dr.Web
|