Обнаружена массовая рассылка через Skype и социальные сети, приводящая к
заражению Windows-компьютеров червем Worm.NgrBot. Опасность угрозы
усугубляется тем, что вредоносную ссылку пользователи получают от имени
своих авторизованных контактов.
В Рунете обнаружен интересный социальный троян, распространяемый через Skype и через социальные сети.
По всей видимости, первой угрозу описала белорусская антивирусная
компания "Вирусблокада" 4 октября 2012 г. На следующий день
существование угрозы подтвердили отечественные антивирусные разработчики
"Лаборатория Касперского" и "Доктор Веб".
Согласно постингу в блоге "Вирусблокады", заражение вновь обнаруженным
вирусом происходит после перехода по ссылке, полученной в Skype, причем
жертва получает сообщение с опасной ссылкой от одного из своих
авторизованных контактов.
Опасная ссылка сопровождается сообщением "Это новый аватар твоего
профиля?" либо "ey eto vasha novaya kartina profil’? [ник в Skype]". При
переходе по ссылке в систему загружается ZIP-архив с вредоносным
исполняемым файлом с расширением .EXE.
Файл представляет собой сравнительно давно известного сетевого
многофункционального червя Worm.NgrBot (или Dorkbot), включающего
зараженный компьютер в ботнет и привлекающего его к DDoS-атакам.
Кроме того Worm.NgrBot способен похищать пароли как от файлообменников
Letitbit, Sms4file, Vip-file, так и от почт, легальных сервисов и
соцсетей (YouTube, Gmail, Facebook) и блокировать доступ компьютера к
сайтам антивирусных компаний.
Компания отмечает, что, помимо рассылки сообщений в Skype, Worm.NgrBot
способен распространять себя также и через сообщения в социальных сетях
"Вконтакте" и Facebook, через Twitter, а также через флеш-носители.
Достоверных данных о масштабах заражения и ареале распространения
Worm.NgrBot через Skype пока нет, однако, география обнаружения и
специфика подозрительного сообщения, сопровождающего вредоносную ссылку,
позволяет судить, что нынешняя эпидемия зародилась в странах СНГ.
Первооткрыватель новой угрозы "Вирусблокада" предостерегает
пользователей от перехода по подозрительным ссылкам и, чтобы избежать
дальнейшего распространения трояна, призывает отключить функцию
управления Skype другими программами. Это можно сделать в меню
расширенных настроек Skype, очистив пункт "Контроль доступа программного
интерфейса".
"Вирусблокада" отмечает, что, поскольку троян Worm.NgrBot скрыт от
обнаружения стандартными средствами Windows, для его обнаружения и
удаления потребуется использовать специальные утилиты.
В российском разработчике средств безопасности "Доктор Веб" полагают, что для удаления трояна достаточно обновить вирусные базы.
Обнаружена массовая рассылка через Skype и социальные сети, приводящая к
заражению Windows-компьютеров червем Worm.NgrBot. Опасность угрозы
усугубляется тем, что вредоносную ссылку пользователи получают от имени
своих авторизованных контактов.