 Компания «Доктор Веб» сообщает о появлении новой угрозы, распространяемой через известный сервис микроблогинга Twitter.com. C одного из аккаунтов по его подписчикам распространяется сообщение, содержащее вредоносную ссылку. При переходе по ней пользователю предлагается скачать специальный кодек для просмотра порно-ролика, который оказывается вредоносной программой. При этом зловредный ресурс самостоятельно определяет вид операционной системы, предлагая разные угрозы для ОС Windows и Mac OSX.
24 июня в микроблоге одного из пользователей Twitter.com появилось сообщение, содержащее следующую запись: Leighton Meester sex tape video free download! и ссылку - как оказалось - на сайт с вредоносными объектами.
Так как блог данного пользователя на Twitter.com обладает большим количеством подписчиков (около 140000), она тут же попала в их ленты. При нажатии на сообщение, пользователь через сервис сокращенных ссылок http://www.bit.ly/ попадал на страницу видео-хостинга http://www.nowpublic.com/, содержащую ролик. При попытке посмотреть его, пользователь переадресовывался на страницу http://worldt**e.su http://worldt**e.su Далее при нажатии на видео, ему предлагалось скачать специальный кодек ActiveXsetup.exe, который на самом деле оказывался вирусом.
Вредоносный скрипт на http://worldt**e.su самостоятельно определяет вид операционной системы по user-agent браузера. Если используются браузеры, работающие под Windows, за кодеком скрывается Backdoor.Tdss.119. Если же используются браузеры, работающие с Mac OS X – Mac.Dnschanger.2, после запуска ActiveXsetup.dmg стартует файл install.pkg, активирующий Perl-скрипт, который загружает основной вирус.
Его функционал в зараженной системе заключается в подмене адресов DNS-серверов при запросах, которые производит пользователь в адресной строке своего браузера.
Такое поведение вируса может использоваться как для продвижения различных сайтов в поисковых системах, так и для переадресации пользователей на вредоносные ресурсы.
Вскоре после появления этого сообщения ссылка с http://www.nowpublic.com/ на http://worldt..e.su была удалена. Но прежде она была активна более 10 часов, поэтому не только попала в ленты подписчиков блоггера, но и цитировалась ими. |
Сделать стартовой
Добавить в избранное
