Покой нам только снится. Подписчики соцсетей опять атакованы

Среди пользователей ресурса «вКонтакте.ру» продолжается рассылка писем, содержащих опасные ссылки. На сегодня зафиксированы вредоносные программы двух видов, по-видимому, принадлежащие различным авторам. Так, в одном случае сообщение содержит следующий текст: «Пpивeткa! Я тyт нaшлa видeo c дeвyшкoй, очeнь поxожeй нa твою подpyгy! Ту, что ecть вконтaктe.. Поcмотри.. Я в шокe проcто.. Онa тaм нa глaвной cтрaницe былa и в «поcлeдниx обновлeнияx» ceйчac еще еcть.. Срaзу зaметишь.. Ей только не говори.. И осторожно - тaм все фотки и ее видео - для взрослых...». Заинтересованный пользователь переходит по ссылке на сайт злоумышленников, где ему предлагается скачать видеоролик, на самом деле являющийся вирусом. Далее «червь» проникает в компьютер, захватывает управление и превращает ПК жертвы в базу для последующих рассылок спама. Как поясняют эксперты, авторы вируса в этом случае преследуют исключительно коммерческие цели – из зараженных ПК создаются сети зомби-компьютеров (бот-сети) для проведения заказных распределенных DDoS- и спам-атак.

Напомним, что не так давно вирусописатели уже заманивали участников проекта «вКонтакте.ру» предложениями «для взрослых». Пользователи могли получать предложение принять участие в порночате или посетить новый порносайт. При попытке просмотреть порноролик сообщалось, что это можно сделать, только установив дополнительный кодек, который на деле оказывался трояном Trojan.Win32.Crypt.ey. От зараженного ПК также происходила рассылка спама. Кроме того, первые пять результатов в поисковой выдаче «Яндекса», Google, «Рамблер», Live.com, MSN.com и Yahoo на зараженном компьютере подменялись ссылками на порносайты. По оценкам Лаборатории Касперского, которая и вычислила вредоносную программу, в ходе данной атаки оказались похищенными около 4 тыс. аккаунтов пользователей сети «вКонтакте.ру».

Другая вредоносная программа, свободно «гуляющая» по почтовым ящикам подписчиков «вКонтакте.ру», представляет собой аналогичный спам, однако сообщения больше напоминают принцип работы известных в народе «лохотронщиков». Так, на почту пользователю поступает текст со следующим обращением: «Привeт, oтпpaвь пожалуйстa cмс c тeкcтом 57 6774 (между 57 и 6774 пpобeл) на номер 1171, онa cтоит oколo 10 pублeй, у мeня пpоcто деньги нa тeлeфoнe закончилиcь, а эту смc нужно cpoчно oтпpавить! 10 pуб нa днях пoлoжу тeбе на тeлефон!». Наблюдатели предупреждают, что это стандартный пример сетевого мошенничества – деньги, которые отправит пользователь, уйдут в карман злоумышленника, кроме того, стоимость отправки SMS-собщения на данный номер в несколько раз выше указаной в тексте.

Напомним, что в мае 2008 года социальная сеть «вКонтакте.ру» открыла счет печальной статистике нападений на популярные соцресурсы Рунета. Сетевой «червь», обнаруженный специалистами компании «Доктор Веб», также распространялся через почту и имел ссылку на зараженный ресурс (см. новость раздела «вКонтакте» от 20 мая 2008 г.). Тогда эксперты предположили, что проведенная атака явила собой лишь отработку технологий, предваряя гораздо более мощную бомбардировку. Эти прогнозы подтверждаются в настоящее время. Одновременно с атакой на ресурс «вКонтакте.ру» в мае этого года началась спам-рассылка и на социальную сеть «Одноклассники.ру» (см. новость дайджеста раздела «Одноклассники» от 23 мая 2008 г.). Владельцы аккаунтов сети начали получать письма, в которых содержалась просьба бесплатно проголосовать за фотографию какой-либо претендентки на титул «Мисс Рунет».

Рассылка продолжается и в настоящее время. Текущий вариант письма выглядит следующим образом: «Привет! Увидела твою анкету в списке «Друзей моих друзей» и решила попросить тебя о небольшом одолжении. Дело в том, что я участвую в конкурсе красоты «Мисс Рунет» и мне очень нужна поддержка. Если тебя не затруднит, зайди пожалуйста на сайт конкурса и проголосуй за меня. Голосование абсолютно бесплатно, просто достаточно ввести код с картинки и нажать на кнопочку «Отдать свой голос». Победа в данном конкурсе для меня ОЧЕНЬ много значит, иначе бы я не стала обращаться с подобной просьбой. Заранее благодарю за помощь!». Пройдя по модифицированному адресу, пользователь увидит фото претендентки и отзывы людей, якобы уже проголосовавших за нее. Далее при нажатии на ссылку «Отдать свой голос» посетителю будет предложено скачать видеоролик, в то время как на самом деле на компьютер скачается вирусная программа.

Недавно участники сети «Одноклассники.ру» были атакованы другой зловредной программой, выявленной компанией  «Антивирусный центр» (см. новость дайджеста раздела «Одноклассники» от 1 июля 2008 г.). Письмо, на первый взгляд напоминающее автоматический ответ на появление на сайте личного сообщения для пользователя, при клике на ссылку загружает вирус. В результате и в одном, и в другом случае инфицированный ПК используется для рассылки спама.

Отметим, что вирусописатели вовсе не ограничиваются отечественными социальными проектами. Например, недавно атаке вредоносных программ подверглись три веб-проекта, пришедшие в Рунет из англоязычного сегмента Интернета: соцсети MySpace и Hi5.com, а также интернет-пейджера Windows Live Messenger (см. новость раздела Web от 29 августа 2008 г.). Во всех трех случаях вирус, классифицированный как самореплицирующийся червь, был обнаружен специалистами компании ESET.

Эксперты отмечают, что социальные сети в силу своих характерных особенностей, таких как большое число пользователей и иллюзия «доверенной» среды, являются максимально удобными площадками для распространителей вредоносных программ. В целом вредоносные сайты, ссылки на которые содержатся в письмах, ежедневно посещают 22 тысячи пользователей Рунета. В связи с неослабевающим интересом вирусописателей к социальным сетям разработчики антивирусных программ рекомендуют не открывать письма и вложения в письмах от незнакомых адресатов, не заходить на подозрительные сайты, а также устанавливать на ПК антивирусные программы, на которых производятся регулярные обновления вирусных баз.