Компания Cezurity, российский разработчик средств защиты от вредоносных программ и хакерских атак, сообщила о том, что в текущий момент характер заражения пользователей социальных сетей троянской программой Trojan.RpcTonzil принимает характер эпидемии.
Так, по оценке вирусной лаборатории Cezurity, сегодня этой вредоносной программой заражено не менее 50 тыс. участников «ВКонтакте». К такому выводу привел анализ данных, получаемых с помощью Cezurity Cloud — облачной технологии антивирусной защиты, которая способна обнаруживать подобные угрозы с помощью выявления аномалий в файлах. Заражению могут быть подвержены компьютеры под управлением операционных систем Microsoft Windows, причем как 32-битных, так и 64-битных, считают в Cezurity.
Как рассказали CNews представители компании, в результате заражения злоумышленники получают целый ряд возможностей — от получения доступа к аккаунтам в социальной сети и последующей рассылки спама с взломанных страниц до похищения персональных данных пользователей и SMS-мошенничества.
Троянская программа Trojan.RpcTonzil модифицирует запросы компьютеров к DNS-серверу. В результате при попытке зайти в социальную сеть пользователь оказывается на специально созданной злоумышленниками фишинговой веб-странице, которая имитирует и практически неотличима от страницы «ВКонтакте», где сообщается о том, что аккаунт социальной сети был взломан. Злоумышленники предлагают создать новый пароль и верифицировать привязку своего номера мобильного телефона к аккаунту в социальной сети. Пользователей может обмануть адрес, который отображается в адресной строке браузера — он полностью соответствует правильному и возникает ощущение, что страница действительно принадлежит «ВКонтакте».
Троян также блокирует доступ к сайтам большинства антивирусных компаний и серверам обновления Microsoft. Таким образом, у антивирусных лабораторий зачастую нет достаточного количества данных для того, чтобы заметить распространение заражения.
«Отдельные варианты Trojan.RpcTonzil были обнаружены и детектировались антивирусными компаниями уже с начала марта этого года. Однако на сегодняшний день распространение Trojan.RpcTonzil продолжается, и большинством антивирусов вредоносная программа либо вообще не обнаруживается, либо детектируются лишь некоторые модификации», — отметили в Cezurity.
По словам специалистов компании, трудность обнаружения всех модификаций Trojan.RpcTonzil связана с тем, что в троянской программе используется достаточно сложная техника сокрытия от антивирусов. При этом на компьютеры жертв троянская программа может попадать различными способами. В некоторых случаях заражение может быть предотвращено встроенными в антивирусы поведенческими механизмами защиты.
«После заражения компьютера троянская программа существует только в зашифрованном виде. Ее расшифровка и автозапуск осуществляется с помощью небольшой модификации системной библиотеки rpcss.dll, — рассказал Кирилл Пресняков, ведущий вирусный аналитик Cezurity. — Троян использует технику заражения, похожую на метод EPO (Entry Point Obfuscation, скрытая точка входа). Большинство антивирусов не способно детектировать заражение, произведенное таким образом, то есть, не зная вируса “в лицо”, они могут обнаружить этот троян только по поведению. Осложняет детектирование и тот факт, что внедренный в системную библиотеку фрагмент носит условно-случайный характер».
Другим возможным препятствием для обнаружения и лечения вредоносной программы может быть географическая направленность атаки — троян нацелен на пользователям российских социальных сетей.
Компания Cezurity рекомендует пользователям проверить компьютер бесплатным «Антивирусным Сканером», который сегодня обнаруживает все известные модификации Trojan.RpcTonzil.
Источник: cnews.ru
