Menu

Новий троян блокує доступ до сайтів

Троянець Trojan.BrowseBan.480 блокує доступ на деякі веб-сайти, шахрайським шляхом змушуючи користувача оформити платну підписку на різні послуги.

При запуску троянець Trojan.BrowseBan.480 перевіряє, які браузери встановлені на комп'ютері користувача, а потім зберігає на диск модулі, в яких реалізовано його шкідливий функціонал. Для браузера Microsoft Internet Explorer модуль реалізований у вигляді файлу динамічної бібліотеки, для Mozilla Firefox, Opera і Google Chrome - спеціального плагіна, для функціонування якого троянець змінює настройки програми.

В результаті, при спробі відкриття певних сайтів у вікні браузера троянець модифікує відображувану веб сторінку, і на екрані комп'ютера демонструється вікно, в якому користувачеві пропонується ввести номер мобільного телефону, а потім - код, отриманий у відповідному СМС-повідомленні. Таким чином, жертва погоджується з умовами передплати, згідно з яким з рахунку її мобільного телефону регулярно списуватиметься певна сума.

Новый троянец блокирует доступ к сайтам

З недавніх пір оператори «великої трійки» при підключенні абонента до платних сервісів стали використовувати спеціальні веб сторінки з інформацією про умови надання послуг та їх вартості. Тому для здійснення підписки Trojan.BrowseBan.480 використовує офіційні сервіси мобільних операторів «МТС» (moipodpiski.ssl.mts.ru) і «Білайн» (signup.beeline.ru), однак шкідливий скрипт приховує «зайву» інформацію, внаслідок чого жертва бачить лише діалогове вікно, що містить форму для введення номера мобільного телефону. Наприклад, ось так повинна виглядати сторінка оформлення передплати, демонстрована оператором мобільного зв'язку:

Новый троянец блокирует доступ к сайтам

А ось що бачить користувач комп'ютера, інфікованого Trojan.BrowseBan.480:

Новый троянец блокирует доступ к сайтам

Причому зловмисники не полінувалися розробити унікальний дизайн вікна для різних сайтів, які може відвідати жертва: серед них - сторінки соціальних мереж «ВКонтакте», «Однокласники», «Мій світ», Facebook, популярні пошукові системи, поштові служби «Яндекс.пошта», Gmail, Mail.ru, а також інші популярні ресурси. Підписку здійснює контент-провайдер ТОВ «Пластик Медіа», а оплата стягується нібито за доступ до служби анонімайзера http://4anonimz.ru, однак у силу того, що троянець приховує детальну інформацію про передплату жертва про це навіть не здогадується.

|