«Доктор Веб» сообщает о крупномасштабной эпидемии троянца-вымогателя Trojan.Blackmailer

[B]7 апреля 2009 года[/B] Компания «Доктор Веб» информирует о крупномасштабной эпидемии сразу нескольких модификаций Trojan.Blackmailer, которая началась в конце марта 2009 года и продолжается до настоящего времени. С 31 марта наблюдается значительное присутствие данной вредоносной программы среди обнаруженных инфицированных файлов. Речь может идти о миллионах заражённых компьютеров. С начала распространения новых модификаций Trojan.Blackmailer специалистами компании "Доктор Веб" были оперативно добавлены соответствующие записи в вирусную базу, и на данный момент пользователи антивируса Dr.Web надёжно защищены от данного троянца.
Данный троянец представляет из себя плагин к браузеру Internet Explorer с рекламой порно-сайтов, который отображается при посещении любого интернет-ресурса. Таким образом он постоянно напоминает о себе пользователям. В то же время, данную программу практически невозможно удалить стандартными средствами - для деинсталляции злоумышленники предлагают пользователям отправить SMS-сообщение, а затем ввести полученный код.
[CENTER][IMG]http://www.av-desk.com/static/new-www/pic_blackmailer.jpg[/IMG][/CENTER]
С момента начала эпидемии сразу 4 различных модификации – [B]Trojan.Blackmailer.1094, Trojan.Blackmailer.1093, Trojan.Blackmailer.1086[/B] и [B]Trojan.Blackmailer.1091[/B] – расположились в первых 5 строчках статистики инфицированных файлов, переведя во второй эшелон даже сетевого червя [B]Win32.HLLW.Shadow.based[/B]. Поэтому даже если принять во внимание, что на каждом заражённом [B]Trojan.Blackmailer[/B] компьютере обнаруживается несколько инфицированных этим троянцем файлов, то масштабы эпидемии всё равно серьёзные.
Установка [B]Trojan.Blackmailer[/B] в систему происходит не только при посещении заранее подготовленных вредоносных порно-сайтов. Заражение данной вредоносной программой возможно и при посещении вполне благонадёжных интернет-ресурсов, которые были взломаны с целью добавления к их страницам вредоносных скриптов, которые, используя уязвимости Internet Explorer, загружают и устанавливают вредоносный плагин.
[B]Компания «Доктор Веб» рекомендует использовать альтернативные интернет-браузеры, а также устанавливать актуальные обновления для операционной системы и другого ПО для снижения риска заражения Trojan.Blackmailer. В случае, если заражение одной из модификаций Trojan.Blackmailer всё же произошло, то не рекомендуется отправлять SMS-сообщения, тем самым делая свой вклад в обогащение злоумышленников. Для удаления плагина достаточно просканировать компьютер сканером Dr.Web с актуальными базами или актуальной версией Dr.Web CureIt!.[/B]

[URL="http://news.drweb.com/show/?i=298&c=5"]drweb.com[/URL]

Авира детектит эту мразь?

В дополнение:
Пару дней назад компания "Доктор Веб" опубликовала на своем сайте информацию о крупномасштабной эпидемии сразу нескольких модификаций вредоносной программы Trojan.Blackmailer, вымогающей у своих жертв деньги. По словам специалистов, активное распространение троянца в Интернете началось в конце марта текущего года и в настоящий момент речь может идти о миллионах зараженных компьютеров.
Для того чтобы составить полную картину об опасности и масштабе распространения в Сети программы Trojan.Blackmailer, мы обратились за комментариями к представителям российского рынка антивирусных решений, и вот, что они нам ответили.

Павел Потасуев, IT-директор компании ESET: "В настоящее время вирусные аналитики ESET не зафиксировали массовых заражений ПК программой с функционалом, сходным с Trojan.Blackmailer. Однако создание подобных программ - далеко не редкость. Вирусописатели стремятся заработать любым способом, и прямой шантаж пользователей - самый действенный путь. Неприятный момент заключается в том, что для вывода денежных средств используются SMS-сервисы. Отследить арендатора короткого номера, на который доверчивый пользователь отсылает сообщение SMS, практически невозможно. К сожалению, культура поведения в Сети в нашей стране ещё не столь высока - пользователь зачастую не понимает, что гораздо выгоднее установить лицензионную операционную систему и защитное ПО, чем платить шантажистам".

Кирилл Керценбаум, руководитель группы технических специалистов Symantec в России и СНГ: "Нет никакой эпидемии, и опасность преувеличена. По сравнению с Conficker - это капля в море, от силы были заражены несколько тысяч компьютеров. Также стоит отметить, что начиная с версии продуктов Norton 2008, мы используем технологию Canary, которая просто препятствует установке подобных плагинов для таких браузеров, как Internet Explorer и FireFox".

Александр Гостев, руководитель центра исследований и анализа угроз "Лаборатории Касперского": "На настоящий момент мы не располагаем информацией о случаях массового заражения пользователей данным вредоносным ПО. Зловред не значится в рейтинге 20 наиболее распространенных вредоносных программ, детектированных на компьютерах пользователей, в марте 2009 года и не представляет особого интереса: эксперты "Лаборатории Касперского" писали про троянские программы с аналогичным функционалом ещё в ноябре 2008 года. Защититься от данной программы весьма просто: наши продукты успешно её детектируют. Кроме того, упомянутый троянец использует эксплойт только в браузере Internet Explorer - для пользователей браузеров других производителей (Opera, Firefox) опасности он не представляет. Тем не менее, мы настоятельно не рекомендуем пользователям отправлять SMS на указанный короткий номер: вопрос удаления программы таким образом не решится - в троянских программах не реализована функция работы с "ответным кодом" - и деньги будут потрачены впустую".

Как видите, по мнению других игроков рынка антивирусного программного обеспечения, особой опасности Trojan.Blackmailer не представляет. Достаточно всего лишь при работе в Сети руководствоваться здравым смыслом, почаще наведываться на сайт службы обновлений Windows Update и отказаться от повседневного использования администраторского аккаунта операционной системы Windows. Соблюдая эти простые правила, можно существенно снизить вероятность заражения компьютера вредоносным кодом через Интернет.
[url]http://www.computerra.ru/vision/417842/[/url]

У всех, похоже, своя статистика.:)
[url]http://stat.drweb.com/[/url]
Там можно выбрать период с 30.03.09 по 04.04.09,
поставить галочку " Файлы", посмотреть цифры.
Да и здесь в "Помогите" очень немало обращений.
Так что лучше меньше читать ответы "представителей российского рынка антивирусных решений" на прессуху конкурента, а смотреть и думать самостоятельно, особенно когда имеется такая возможность.

[QUOTE=herzn;385442]У всех, похоже, своя статистика.[/QUOTE]

И это объективный факт. Если судить по статистике ООО "Доктор Веб", заражению подверглось большое количество пользователей продукции DrWeb.
Продукты ESET, Symantec и ЛК либо дружно не детектят этот вирус, либо не допускают заражения оным - потому и не видят всплеска в своей статистике.

[QUOTE]Продукты ESET, Symantec и ЛК либо дружно не детектят этот вирус[/QUOTE]
Вполне возможно.
Наблюдал раздачу этого blackmailer с одного сайта.
Каждый раз выдавался измененный файл.
Ловили их только 4-5 антивирусов с VT.
Вышеназванные в этот список не входили.
После отправки некоторых в ЛК файлы добавлялись.

[QUOTE=herzn;385545]Вполне возможно.[/QUOTE]

Есть и еще одно предположение, часто обосновывающее резкий всплеск детектов в статистике: false alarm

Но как известно лучше перебздеть чем недобздеть :O
Главное чтобы после ложных срабатываний системы продолжали работать.

[QUOTE=DVi;385588]Есть и еще одно предположение, часто обосновывающее резкий всплеск детектов в статистике: false alarm[/QUOTE]
Всякое бывает, но не в моем случае, т.к.:
[QUOTE]После отправки некоторых в ЛК файлы добавлялись.[/QUOTE]