В Интернете появился копьютерный вирус для операционной системы Windows, который взламывает аккаунты пользователей социальной сети "ВКонтакте".

Троян работает по следующему принципу: он модифицирует файл hosts (расположен по адресу C:\WINDOWS\system32\drivers\etc\) таким образом, что при попытке пользователя зайти в любимую социальную сеть браузер его компьютера открывает сайт-двойник; в результате адрес электропочты и пароль сразу же после введения на поддельном ресурсе добавляются в базу ворованных аккаунтов.

В 4,2-мегабайтном файле содержатся несколько десятков тысяч действующих адресов и паролей. Изначально сообщалось о 130 или даже 150 тысячах взломанных аккаунтов, однако путем отброса повторяющихся комбинаций мы выяснили, что их там в два-два с половиной раза меньше. (Что, впрочем, тоже впечатляет.) Известно также, что в ближайшее время под удар могут попасть пользователи сети "Одноклассники": хакеры уже создали соответствующий файл для их данных, однако в настоящее время он пуст.

Мы попросили специалистов компаний, занимающихся разработкой антивирусов, прокомментировать ситуацию, а также рассказать о подобных атаках.

Сегодня в свободный доступ попали данные учётных записей более чем 130 тысяч пользователей популярной российской социальной сети "ВКонтакте". Информация была опубликована на одном из хакерских сайтов. Наши эксперты проанализировали эти данные и подтверждают факт компрометации. Согласно нашей информации инцидент выглядит следующим образом: сайт, указанный в сообщении - 83.133.120.252, известен Лаборатории Касперского как фишинговый и блокируется при попытке обращения к нему персональными продуктами.

Вредоносная программа Trojan.Win32.VkHost.an (детектируется нами с 28 июля) распространялась через приложение "ВКонтакте" (hxxp://vkontakte.ru/app711384?&m=2, в настоящий момент заблокировано администрацией ресурса). После установки в систему данный троянец подменял файл hosts на следующий:
83.133.120.252 vkontakte.ru
83.133.120.252 odnoklassniki.ru

Потом, когда пользователь пытался открыть сайт одной из этих социальных сетей, его перенаправляли на фишинговую страницу, где надо было залогиниться. Логин и пароль уходили в базы на том же сайте 83.133.120.252. В настоящий момент база "одноклассников" пуста, поэтому говорить о компрометации данных пользователей и этой социальной сети - пока рано.

После того, как пользователь логинился на поддельной странице, происходил редирект - сначала на новую страницу. На данной странице имеется следующий текст:

"ВНИМАНИЕ! Ваш аккаунт опознан системой как потенциально опасный. С вашего IP-адресса ведётся Спам-рассылка. Аккаунт признан фейком,созданным злоумышленниками для Спам-рассылок, и будет удалён через 24 часа после прочтения данного уведомления, в случае отказа от подтверждения аккаунта. Если аккаунт настоящий, его необходимо подтвердить. Отправьте смс с текстом orderit30193 (без пробелов), на номер 6008 в ответном смс вам придёт Код активации. Стоимость смс соответствует стоимости по вашему тарифному плану."

Что самое интересное, если пользователь отправит смс, то он действительно получает некий код, так как на сайте имеются страницы с следующим содержанием:

"Kод принят! Скачайте и запустите файл - Скачать."

По ссылке находится файл access.exe, который восстанавливает оригинальный файл hosts (127.0.0.1 localhost).

"Вы ввели не правильный код. Вернитесь и введите код из смс сообщения!"

Мы рекомендуем всем пользователям "ВКонтакте" и "Одноклассников" проверить содержимое своих файлов hosts, которые находятся в каталоге %windir%\system32\drivers\etc, и если в них обнаружены ссылки на vkontakte.ru и odnoklassniki.ru - удалить их.

Обязательно сменить все пароли от всех аккаунтов в социальных сетях. В случае попадания на подобные фишинговые страницы, ни в коем случае не вводить свои логин и пароль и не отправлять никаких смс-сообщений.

Злоумышленники достаточно часто используют подмену hosts-файлов для перенаправления пользователей на фишинговые веб-страницы. К сожалению, такой примитивный способ иногда приносит преступникам свои плоды. Если говорить об подобных схемах атаки на пользователей онлайн-банкинга, то они наиболее популярны в Латинской Америке.

Григорий Васильев, технический директор компании ESET:

Доступ к аккаунтам vkontakte.ru был получен с помощью фарминг-атаки - перенаправления жертвы по ложному IP-адресу с помощью внесения изменений в файл hosts. Пользователь попадает на подставную страницу, созданную злоумышленником, и последний перехватывает пароли к его учётным записям. Жертва при этом может ни о чем не догадываться, поскольку внешне поддельная страница ничем не отличается от настоящей.

Подобные атаки чаще всего используются там, где речь идет о реальных деньгах. Поэтому самую большую распространенность получило использование фарминга в онлайн-банкинге. Современные антивирусные продукты, применяющие технологии HIPS в сочетании с эвристическим анализом, способны эффективно защитить пользователей от вредоносного ПО, пытающегося внести изменения в файл hosts, даже в том случае, если это новая неизвестная угроза.

Дополнение: Судя по всему, сотрудники "ВКонтакте" принудительно заменили пароли всем "счастливчикам". Этот шаг, несомненно, правилен с одной оговоркой: проблемы до конца он не решает. Ведь многие из нас придумывают лишь один пароль на все случаи жизни, а раз так - у обладателей файла с базой остается широчайший простор для экспериментов...

Дополнение 2: "Лаборатория Касперского" предлагает пользователям социальных сетей "ВКонтакте" и "Одноклассники" проверить, не оказались ли их регистрационные данные в руках злоумышленников. Сделать это можно специальной странице информационного портала компании. Пусть сотрудники "ВКонтакте" и сменили пароли пострадавшим пользователям, выяснить, есть ли ваш адрес в базе (которая, к слову, по своему старому адресу в настоящий момент недоступна), все же стоит.

Если ответ будет положительным, необходимо почистить файл hosts и устроить тотальную антивирусную проверку ПК. И еще: если вы использовали на всех посещаемых ресурсах – социальных сетях, почтовых службах, ICQ и так далее – один и тот же пароль, его в срочном порядке необходимо сменить. Желающих завладеть остальными вашими аккаунтами (к примеру, попробовав ввести ваш старый пароль от "ВКонтакте" на "Одноклассниках") может быть гораздо больше, чем кажется.

31 июля 2009|Авторы: Алексей Стародымов, Марина Пелепец.
По материалу сайта