«Три в одном»

Мобильные троянцы, отправляющие sms на платные номера, поддельные антивирусы, требующие денег за «лечение» компьютера, троянские программы-вымогатели, блокирующие нормальную работу системы — все это знакомо и регулярно встречается в вирусных новостях всех антивирусных компаний, включая и нашу.

Встречайте «три в одном» — Trojan.Win32.KillProc.am (может также детектироваться как Trojan-Ransom.Win32.BHO.a).

Представляет собой Browser Helper Object и встраивается в браузер Internet Explorer. Если ваша система заражена им, то в один непрекрасный момент вместо ваших любимых сайтов в интернете браузер начнет загружать страницу антипиратского раздела сайта Microsoft, посвященного легализации ПО.

На самом деле текст странички находится в коде троянца и не соответствует настоящему содержимому сайта Microsoft. Однако в браузере показывается правильный URL: http://www.microsoft.com/Rus/Antipiracy/Activation/Default.mspx.

Сравните эти два скриншота:

Второй — поддельный! Но троянец делает все настолько искусно, что даже опытный пользователь может попасться на удочку.

Как видно, автором троянца является русскоязычный автор, решивший заработать денег с помощью популярного нынче у вирусописателей сервиса «sms-платежей».

Что будет, если пользователь поверит в бред про «годовую подписку на пользование браузером» и отправит SMS на требуемый номер ? Ну то что он лишится денег с своего мобильного баланса — это несомненно =)

Только вот троянец сделан то ли совсем дилетантом, то ли дилетантом с хорошим чувством юмора: ввод «кода легализации» приводит не к разблокировке, а к выводу сообщения «Введенный код неверен». Это сообщение жестко запрограммировано прямо в коде поддельной странички.

Стоит ли говорить, что ваш интернет работать так и не начнет и способами спасения будут либо лечение при помощи антивируса, либо использование вместо Interner Explorer какого-либо другого браузера.

Мы уже связались с организацией, сдающей в субаренду указанный короткий номер, и надеемся, что в самое ближайшее время его использование в преступных целях будет прекращено.

Всем пострадавшим от этого троянца и его клонов (отправившим эсэмэски) мы рекомендуем обратиться с жалобой к своему мобильному оператору — возможно, ваши деньги будут вам возвращены.