Не менее 50 000 пользователей ВКонтакте стали жертвами Trojan.RpcTonzil

Компания Cezurity, российский разработчик средств защиты от вредоносных программ и хакерских атак, сообщила о широком распространении троянской программы Trojan.RpcTonzil среди пользователей социальных сетей. Так, по оценке вирусной лаборатории Cezurity, сегодня этой вредоносной программой заражено не менее 50,000 участников ВКонтакте.

Большинство антивирусных продуктов способны обнаружить лишь некоторые модификации Trojan.RpcTonzil. Инфецированию могут быть подвержены компы под управлением операционных систем Microsoft Windows, при этом как 32-битных, так и 64-битных. В итоге инфецирования злоумышленники получают целый ряд способностей – от получения доступа к аккаунтам в социальной сети и следующей рассылки мусора с взломанных страничек до похищения индивидуальных данных юзеров и СМС-мошенничества.

Троянская программка Trojan.RpcTonzil видоизменит запросы компов к DNS-серверу. В итоге при попытке зайти в социальную сеть юзер оказывается на специально сделанной злодеями фишинговой web-странице, которая имитирует и фактически неотличима от странички ВКонтакте, где сообщается о том, что акк социальной сети был взломан. Злоумышленники предлагают сделать новый пароль и верифицировать привязку собственного номера мобильного телефона к аккаунту в социальной сети. Юзеров может одурачить адресок, который отображается в адресной строке браузера – он на сто процентов соответствует правильному и появляется чувство, что страничка вправду принадлежит ВКонтакте.

Троян также перекрывает доступ к веб-сайтам большинства антивирусных компаний и серверам обновления Microsoft. Таким макаром, у антивирусных лабораторий часто нет достаточного количества данных для того, чтоб увидеть распространение инфецирования. Отдельные варианты Trojan.RpcTonzil были обнаружены и детектировались антивирусными компаниями уже с начала марта этого года. Но, на сегодня распространение Trojan.RpcTonzil длится и большинством антивирусов вредная программка или вообщем не находится, или детектируются только некие модификации.

Трудность обнаружения всех модификаций Trojan.RpcTonzil связана с тем, что в троянской программке употребляется довольно непростая техника сокрытия от антивирусов. При всем этом на компы жертв троянская программка может попадать разными методами. В неких случаях инфецирование может быть предотвращено встроенными в антивирусы поведенческими механизмами защиты.

“После инфецирования компьютера троянская программка существует исключительно в зашифрованном виде. Ее расшифровка и автозапуск осуществляется при помощи маленький модификации системной библиотеки rpcss.dll, – гласит Кирилл Пресняков, ведущий вирусный аналитик Cezurity, – троян употребляет технику инфецирования, похожую на способ EPO (Entry Point Obfuscation, сокрытая точка входа). Большая часть антивирусов не способно детектировать инфецирование, произведенное таким макаром, другими словами, не зная вируса “в лицо” – они могут найти этот троян только по поведению. Осложняет детектирование и тот факт, что внедренный в системную библиотеку кусок носит условно-случайный нрав”.

Другим вероятным препятствием для обнаружения и исцеления вредной программки может быть географическая направленность атаки – инфецирование причиняет вред только юзерам русских соц сетей.

“Эта троянская программка любопытна не как эталон техники инфецирования – антивирусная промышленность издавна знакома с схожими способами – гласит Алексей Чалей, генеральный директор Cezurity, – быстрее история распространения трояна отлично иллюстрирует сложившуюся в антивирусной промышленности ситуацию. Так, вредная программка известна уже три месяца, продолжает распространяться”.