Loading...
Лента добра деактивирована. Добро пожаловать в реальный мир.
Вводная картинка

Мини игра типа Тысячи рунетчиков поддались на уговоры ICQ-червя

16 августа стало черным днем для многих российских пользователей ICQ. Тысячи рунетчиков открыли файл snatch.exe, который им якобы прислали друзья. Файл, конечно, оказывался червем, тут же перехватывал контроль над учетной записью ICQ.

Первые сообщения о вредоносной программе Snatch появились примерно в полдень 16 августа. Всего за день в блогах накопилось свыше полутора тысяч однотипных призывов: "не принимайте и не запускайте этот файл!". Несмотря на это, аськи косило целыми офисами. Стоило одному сотруднику заразиться, как другие получали от него "подарок".

Интересно, что Snatch.exe не содержит каких-то технологических инноваций. По утверждению экспертов, он довольно неряшливо написан в среде разработки Delphi. Эпидемия же началась потому, что авторы червя очень хорошо изучили поведение типичного пользователя и применили несколько безотказно работающих приемов.

Во-первых, червь умеет уговаривать пользователя. Он может для начала сказать "привет" или "глянь". На слово "спам" обидится - мол, разве спамеры файлы шлют? На вопрос, что это он прислал, следует незамедлительный ответ: "ну мини игра типа )".

На этом сломались многие пользователи:

- Глянь!
- Это вирус?
- Нет, глянь )))
- Что это?
- Мини игра типа ).

Запуск, ICQ отключается, заражение.

Во-вторых, Snatch.exe приходит не с незнакомого сайта, а от уже зараженных знакомых, то есть людей, которым пользователь априори доверяет. В ходе эпидемии именно это доверие оказалось особенно непонятным для системных администраторов и сотрудников IT-подразделений пострадавших компаний. Люди, которым паранойя положена по должности, не могли представить себе, как можно повестись на такой простой трюк и кем надо быть, чтобы открывать присланные .exe-файлы.

В-третьих, Snatch.exe занимает 916,5 килобайта, что нетипично много для вируса, каким его представляет себе большинство жертв. И тем больше червь походит на "мини-игру". Особо продвинутые пользователи могли проверить файл архиватором и обнаружить, что внутри спрятан десятимегабайтный файл. Чем не игра?

В-четвертых, попались даже некоторые пользователи, соблюдающие все правила компьютерной безопасности. Приняв файл, они запускали его не сразу, а лишь проверив антивирусом. К сожалению, в начале эпидемии далеко не все антивирусы били тревогу при виде Snatch.exe. Так, на 13 часов 16 августа вредоносную программу распознавали только 9 из 42 антивирусов, известных сервису Virustotal. Все это были сравнительно малоизвестные программы. Лишь через несколько часов подтянулись распространенные в России "Касперский" и Dr.Web.

Вот как описывает работу Snatch.exe аналитик Dr.Web по вирусной обстановке Валерий Ледовской:

Это интернет-червь, который определяется по классификации компании "Доктор Веб" как Win32.HLLW.Natchs. Данный вирус распространяется через сервисы мгновенных сообщений, поддерживающих протокол ICQ. После загрузки и запуска вредоносного файла такие интернет-пейджеры, как QIP и ICQ, завершают свою работу. Если используется QIP, то червь определяет пароль доступа к ICQ-аккаунту и самостоятельно соединяется с ним. После чего рассылает свои копии по списку контактов пользователя-жертвы, продолжая таким образом свое распространение.

Денис Масленников, руководитель группы исследования мобильных угроз "Лаборатории Касперского", где Snatch.exe зовут IM-Worm.Win32.QiMiral.ax, объясняет, как избавиться от червя:

Если заражение произошло, необходимо в диспетчере задач Windows удалить процесс с именем Snatch.exe, после чего удалить само тело червя и по возможности сменить пароль от ICQ UIN'а.

Тут стоит отметить, что, по данным Dr.Web, Snatch.exe не отсылала пароль к аккаунту злоумышленникам, а использовала его только для дальнейшего распространения.

Возможно, авторы Snatch.exe отличаются избыточным благородством, не уводя аськи, как это делают все нормальные мошенники, зарабатывающие на своем ремесле. Но гораздо вероятнее другое - Snatch.exe был пробным шаром.

Типа мини-игрой перед игрой по-крупному.

Комментарии к материалу закрыты в связи с истечением срока его актуальности
Бонусы за ваши реакции на Lenta.ru
Читайте
Оценивайте
Получайте бонусы
Узнать больше