Троянец через скайп

помощь пользователямДаже осторожные люди могут расслабиться и стать жертвой преступников, когда вредоносная ссылка приходит от друзей через Skype. Именно этим пользуется новый троянец, обнаруженный специалистами «Лаборатории Касперского».

Заражение начинается с сообщения от одного из друзей. В нем может быть написано что-то вроде «Смотри, какие твои фото выложены в интернете» или «После просмотра этих фотографий я вряд ли засну» — вирус варьирует тексты. Провокационный текст сопровождается ссылкой вида http://goo.gl/XXX?image=imgXXX.jpg или обычной ссылкой http://bit.ly/XXXX.

Пример вредоносного сообщения в Skype

После перехода по ней вместо демонстрации изображений начинается загрузка на компьютер многочисленных вредоносных дополнений, которые выполняют традиционную троянскую работу наподобие кражи паролей. Более интересное действие зловреда – это попытка воспользоваться установленным Skype для дальнейшей рассылки опасных ссылок. Социальная инженерия работает для этой угрозы очень эффективно, и по данным goo.gl и bit.ly на опасную ссылку кликает в среднем 12000 человек в час! Большинство жертв живут в России, Италии, на Украине, а также в Польше, Коста-Рике, Китае, Болгарии. Чтобы не оказаться в их числе, избегайте нажатий на подозрительные ссылки. Если ссылка прислана другом – свяжитесь с ним и уточните, действительно ли он присылал что-то.

Если подозрительная ссылка прислана другом – свяжитесь с ним и уточните, действительно ли он присылал что-то!

Одна из разновидностей троянца также запускает на компьютере жертвы генератор Bitcoin. Bitcoin – это криптографические цифровые деньги, которые можно создать самостоятельно, используя значительные мощности компьютера. Если компьютер внезапно замедлился, и в диспетчере задач вы видите процесс, занимающий почти все процессорное время, настало время проверять свой компьютер.

Исходный дроппер загружается с сервера в Индии. Уровень детектирования на VirusTotal невысок. После заражения компьютера дроппер загружает в систему множество других вредоносных программ, причем загрузки осуществляются с сервиса Hotfile.com. В то же время, зловред осуществляет соединение с сервером C2, расположенным в Германии.

IP-адрес командного C2 сервера – 213.165.68.138:9000

Итак, что же делает зловред? Честно говоря, много чего, но самое интересное – то, что он превращает зараженный компьютер в генератор биткойнов. В результате значительно возрастает загрузка процессора, например:

Вышеупомянутый процесс запускается командой ?bitcoin-miner.exe -a 60 -l no -o http://suppp.cantvenlinea.biz:1942/ -u XXXXXX0000001@gmail.com -p XXXXXXXX¦ (конфиденциальные данные были заменены на XXXXXX). Он использует процессор зараженного компьютера без ведома пользователя, добывая биткойны для киберпреступников.

Как я уже упомянул, кампания проходит достаточно активно. Если вы видите, что ваш компьютер работает, задействуя все ресурсы процессора, это может говорить о заражении.

Исходный дроппер детектируется «Лабораторией Касперского» как Trojan.Win32.Jorik.IRCbot.xkt.

Источники:

http://blog.kaspersky.ru/skype-troyanec-odolzhit-u-vas-processor/

http://www.securelist.com/ru/blog/207764587/Skype_mageddon_radi_dobychi_bitkoinov

Если статья была полезна вам – не забывайте поделиться ею со своими друзьями в социальных сетях. Если есть вопросы – задавайте в комментариях либо в наших социальных группах.