Вірус-вимагач заражає комп'ютери через Google

25.10.2013

Провідний розробник антивірусного програмного забезпечення ESET заявив про новий спосіб поширення троянської програми Nymaim, блокує комп'ютер користувача з метою отримання викупу за розшифровку.

За повідомленнями експертів, з кінця вересня 2013 року їх увагу привернула вже відома шкідлива програма Nymaim - троян з функціями здирника.

Раніше зараження цим здійснювалося за допомогою відомого комплекту зломщиків-експлойтів BlackHole, які використовували наявні на комп'ютері уразливості програм чи операційної системи для доставки шкідливого коду.

Але нещодавно з'явилася інформація про те, що автор комплекту BlackHole був затриманий в Росії. Ймовірно, у цьому зв'язку зловмисники стали використовувати новий спосіб зараження користувачів.

З кінця вересня було зафіксовано велику кількість виявлень цієї шкідливої програми серед завантажених за допомогою браузера файлів. Експерти встановили, що реферальні посилання, що ведуть на завантаження шкідливих файлів, належать Google. Це означає, що перед зараженням користувач ввів в Google-пошук якийсь запит і клікнув на одне з посилань у пошуковій видачі.

Згідно з результатами дослідження веб-сторінок, які ініціювали завантаження шкідливого коду, для масштабного зараження зловмисники використовували т.зв. "темну пошукову оптимізацію" (Black Hat SEO), з допомогою якої просували спеціально створені шкідливі сторінки в топ видачі за популярними ключовими словами.

Клікнувши на таку посилання в пошуковій видачі, користувач перенаправляється на шкідливу сторінку і ініціює завантаження архіву, назва якого - для підвищення довіри користувачів - відповідає введеному в рядок пошуку тексту. Ось кілька прикладів виявлених експертами ESET назв одного файлу:

video-studio-x4.exe

speakout-pre-intermediate-wb-pdf.exe

new-headway-beginner-3rd-edition.exe

donkey-kong-country-3-rom-portugues.exe

barbie-12-dancing-princesses-soundtrack.exe

Як повідомили представники ESET, Win32/Nymaim заражає систему в два етапи. Потрапивши на комп'ютер, перший шкідливий файл здійснює приховане завантаження і запуск другого файлу, який, у свою чергу, також може завантажувати додаткове шкідливе ПЗ, а може і просто блокувати операційну систему для отримання викупу.

Аналітики виявили більше десятка варіантів екрану блокування, створених на різних мовах і з різним оформленням. Неважко здогадатися, що їх метою були користувачі з різних країн Європи і Північної Америки.

Примітно, що вартість викупу відрізняється для різних країн. У більшості з знайдених екранів блокування ціна викупу становить близько 150 доларів, однак користувачів з США просять заплатити за розблокування - 300 доларів; у Румунії ж заражений користувач може відбутися "всього лише" за 135 доларів.

Експерти відзначають, що вся активність трояна Win32/Nymaim здійснюється в рамках кампанії з поширення шкідливого ПО, в процесі якої шкідливі Apache-модулі заражають легальні веб-сервера, що призводить до перенаправлення користувачів на шкідливі сайти. Ця кампанія, звана The Home Campaign, триває з лютого 2011 року. За даними незалежних досліджень, за цей час зловмисники заразили майже 3 млн комп'ютерів.