«Доктор Веб» сообщает о крупномасштабной эпидемии троянца-вымогателя Trojan.Blackmailer

[ALEX(XX)]

7 апреля 2009 года Компания «Доктор Веб» информирует о крупномасштабной эпидемии сразу нескольких модификаций Trojan.Blackmailer, которая началась в конце марта 2009 года и продолжается до настоящего времени. С 31 марта наблюдается значительное присутствие данной вредоносной программы среди обнаруженных инфицированных файлов. Речь может идти о миллионах заражённых компьютеров. С начала распространения новых модификаций Trojan.Blackmailer специалистами компании "Доктор Веб" были оперативно добавлены соответствующие записи в вирусную базу, и на данный момент пользователи антивируса Dr.Web надёжно защищены от данного троянца.
Данный троянец представляет из себя плагин к браузеру Internet Explorer с рекламой порно-сайтов, который отображается при посещении любого интернет-ресурса. Таким образом он постоянно напоминает о себе пользователям. В то же время, данную программу практически невозможно удалить стандартными средствами - для деинсталляции злоумышленники предлагают пользователям отправить SMS-сообщение, а затем ввести полученный код.

С момента начала эпидемии сразу 4 различных модификации – Trojan.Blackmailer.1094, Trojan.Blackmailer.1093, Trojan.Blackmailer.1086 и Trojan.Blackmailer.1091 – расположились в первых 5 строчках статистики инфицированных файлов, переведя во второй эшелон даже сетевого червя Win32.HLLW.Shadow.based. Поэтому даже если принять во внимание, что на каждом заражённом Trojan.Blackmailer компьютере обнаруживается несколько инфицированных этим троянцем файлов, то масштабы эпидемии всё равно серьёзные.
Установка Trojan.Blackmailer в систему происходит не только при посещении заранее подготовленных вредоносных порно-сайтов. Заражение данной вредоносной программой возможно и при посещении вполне благонадёжных интернет-ресурсов, которые были взломаны с целью добавления к их страницам вредоносных скриптов, которые, используя уязвимости Internet Explorer, загружают и устанавливают вредоносный плагин.
Компания «Доктор Веб» рекомендует использовать альтернативные интернет-браузеры, а также устанавливать актуальные обновления для операционной системы и другого ПО для снижения риска заражения Trojan.Blackmailer. В случае, если заражение одной из модификаций Trojan.Blackmailer всё же произошло, то не рекомендуется отправлять SMS-сообщения, тем самым делая свой вклад в обогащение злоумышленников. Для удаления плагина достаточно просканировать компьютер сканером Dr.Web с актуальными базами или актуальной версией Dr.Web CureIt!.

drweb.com

[max255]

Авира детектит эту мразь?

[SDA]

В дополнение:
Пару дней назад компания "Доктор Веб" опубликовала на своем сайте информацию о крупномасштабной эпидемии сразу нескольких модификаций вредоносной программы Trojan.Blackmailer, вымогающей у своих жертв деньги. По словам специалистов, активное распространение троянца в Интернете началось в конце марта текущего года и в настоящий момент речь может идти о миллионах зараженных компьютеров.
Для того чтобы составить полную картину об опасности и масштабе распространения в Сети программы Trojan.Blackmailer, мы обратились за комментариями к представителям российского рынка антивирусных решений, и вот, что они нам ответили.

Павел Потасуев, IT-директор компании ESET: "В настоящее время вирусные аналитики ESET не зафиксировали массовых заражений ПК программой с функционалом, сходным с Trojan.Blackmailer. Однако создание подобных программ - далеко не редкость. Вирусописатели стремятся заработать любым способом, и прямой шантаж пользователей - самый действенный путь. Неприятный момент заключается в том, что для вывода денежных средств используются SMS-сервисы. Отследить арендатора короткого номера, на который доверчивый пользователь отсылает сообщение SMS, практически невозможно. К сожалению, культура поведения в Сети в нашей стране ещё не столь высока - пользователь зачастую не понимает, что гораздо выгоднее установить лицензионную операционную систему и защитное ПО, чем платить шантажистам".

Кирилл Керценбаум, руководитель группы технических специалистов Symantec в России и СНГ: "Нет никакой эпидемии, и опасность преувеличена. По сравнению с Conficker - это капля в море, от силы были заражены несколько тысяч компьютеров. Также стоит отметить, что начиная с версии продуктов Norton 2008, мы используем технологию Canary, которая просто препятствует установке подобных плагинов для таких браузеров, как Internet Explorer и FireFox".

Александр Гостев, руководитель центра исследований и анализа угроз "Лаборатории Касперского": "На настоящий момент мы не располагаем информацией о случаях массового заражения пользователей данным вредоносным ПО. Зловред не значится в рейтинге 20 наиболее распространенных вредоносных программ, детектированных на компьютерах пользователей, в марте 2009 года и не представляет особого интереса: эксперты "Лаборатории Касперского" писали про троянские программы с аналогичным функционалом ещё в ноябре 2008 года. Защититься от данной программы весьма просто: наши продукты успешно её детектируют. Кроме того, упомянутый троянец использует эксплойт только в браузере Internet Explorer - для пользователей браузеров других производителей (Opera, Firefox) опасности он не представляет. Тем не менее, мы настоятельно не рекомендуем пользователям отправлять SMS на указанный короткий номер: вопрос удаления программы таким образом не решится - в троянских программах не реализована функция работы с "ответным кодом" - и деньги будут потрачены впустую".

Как видите, по мнению других игроков рынка антивирусного программного обеспечения, особой опасности Trojan.Blackmailer не представляет. Достаточно всего лишь при работе в Сети руководствоваться здравым смыслом, почаще наведываться на сайт службы обновлений Windows Update и отказаться от повседневного использования администраторского аккаунта операционной системы Windows. Соблюдая эти простые правила, можно существенно снизить вероятность заражения компьютера вредоносным кодом через Интернет.
http://www.computerra.ru/vision/417842/

[herzn]

У всех, похоже, своя статистика.
http://stat.drweb.com/
Там можно выбрать период с 30.03.09 по 04.04.09,
поставить галочку " Файлы", посмотреть цифры.
Да и здесь в "Помогите" очень немало обращений.
Так что лучше меньше читать ответы "представителей российского рынка антивирусных решений" на прессуху конкурента, а смотреть и думать самостоятельно, особенно когда имеется такая возможность.

[DVi]

У всех, похоже, своя статистика.

И это объективный факт. Если судить по статистике ООО "Доктор Веб", заражению подверглось большое количество пользователей продукции DrWeb.
Продукты ESET, Symantec и ЛК либо дружно не детектят этот вирус, либо не допускают заражения оным - потому и не видят всплеска в своей статистике.

[herzn]

Продукты ESET, Symantec и ЛК либо дружно не детектят этот вирус

Вполне возможно.
Наблюдал раздачу этого blackmailer с одного сайта.
Каждый раз выдавался измененный файл.
Ловили их только 4-5 антивирусов с VT.
Вышеназванные в этот список не входили.
После отправки некоторых в ЛК файлы добавлялись.

[DVi]

Вполне возможно.

Есть и еще одно предположение, часто обосновывающее резкий всплеск детектов в статистике: false alarm

[Torvic99]

Но как известно лучше перебздеть чем недобздеть
Главное чтобы после ложных срабатываний системы продолжали работать.

[herzn]

Есть и еще одно предположение, часто обосновывающее резкий всплеск детектов в статистике: false alarm

Всякое бывает, но не в моем случае, т.к.:

После отправки некоторых в ЛК файлы добавлялись.