|
|
|
|
|
|
![]() |
Сетевая газета InfoSecurity.ru |
Мини игра типа
Первые сообщения о вредоносной программе Snatch появились примерно в полдень 16 августа. Всего за день в блогах накопилось свыше полутора тысяч однотипных призывов: "не принимайте и не запускайте этот файл!". Несмотря на это, аськи косило целыми офисами. Стоило одному сотруднику заразиться, как другие получали от него "подарок". Интересно, что Snatch.exe не содержит каких-то технологических инноваций. По утверждению экспертов, он довольно неряшливо написан в среде разработки Delphi. Эпидемия же началась потому, что авторы червя очень хорошо изучили поведение типичного пользователя и применили несколько безотказно работающих приемов. Во-первых, червь умеет уговаривать пользователя. Он может для начала сказать "привет" или "глянь". На слово "спам" обидится - мол, разве спамеры файлы шлют? На вопрос, что это он прислал, следует незамедлительный ответ: "ну мини игра типа )". На этом сломались многие пользователи:
- Это вирус? - Нет, глянь ))) - Что это? - Мини игра типа ). Запуск, ICQ отключается, заражение. Во-вторых, Snatch.exe приходит не с незнакомого сайта, а от уже зараженных знакомых, то есть людей, которым пользователь априори доверяет. В ходе эпидемии именно это доверие оказалось особенно непонятным для системных администраторов и сотрудников IT-подразделений пострадавших компаний. Люди, которым паранойя положена по должности, не могли представить себе, как можно повестись на такой простой трюк и кем надо быть, чтобы открывать присланные .exe-файлы. В-третьих, Snatch.exe занимает 916,5 килобайта, что нетипично много для вируса, каким его представляет себе большинство жертв. И тем больше червь походит на "мини-игру". Особо продвинутые пользователи могли проверить файл архиватором и обнаружить, что внутри спрятан десятимегабайтный файл. Чем не игра? В-четвертых, попались даже некоторые пользователи, соблюдающие все правила компьютерной безопасности. Приняв файл, они запускали его не сразу, а лишь проверив антивирусом. К сожалению, в начале эпидемии далеко не все антивирусы били тревогу при виде Snatch.exe. Так, на 13 часов 16 августа вредоносную программу распознавали только 9 из 42 антивирусов, известных сервису Virustotal. Все это были сравнительно малоизвестные программы. Лишь через несколько часов подтянулись распространенные в России "Касперский" и Dr.Web. Вот как описывает работу Snatch.exe аналитик Dr.Web по вирусной обстановке Валерий Ледовской: Это интернет-червь, который определяется по классификации компании "Доктор Веб" как Win32.HLLW.Natchs. Данный вирус распространяется через сервисы мгновенных сообщений, поддерживающих протокол ICQ. После загрузки и запуска вредоносного файла такие интернет-пейджеры, как QIP и ICQ, завершают свою работу. Если используется QIP, то червь определяет пароль доступа к ICQ-аккаунту и самостоятельно соединяется с ним. После чего рассылает свои копии по списку контактов пользователя-жертвы, продолжая таким образом свое распространение. Денис Масленников, руководитель группы исследования мобильных угроз "Лаборатории Касперского", где Snatch.exe зовут IM-Worm.Win32.QiMiral.ax, объясняет, как избавиться от червя: Если заражение произошло, необходимо в диспетчере задач Windows удалить процесс с именем Snatch.exe, после чего удалить само тело червя и по возможности сменить пароль от ICQ UIN'а. Тут стоит отметить, что, по данным Dr.Web, Snatch.exe не отсылала пароль к аккаунту злоумышленникам, а использовала его только для дальнейшего распространения. Возможно, авторы Snatch.exe отличаются избыточным благородством, не уводя аськи, как это делают все нормальные мошенники, зарабатывающие на своем ремесле. Но гораздо вероятнее другое - Snatch.exe был пробным шаром. Типа мини-игрой перед игрой по-крупному. Источник: lenta.ru
| |
![]() |