У одной из коллег на домашнем ноутбуке возникла проблема – не заходит в контакт и одноклассники, просит сменить пароль, а в результате отправить платное СМС. Сразу же возникли подозрения на вирус. Так и оказалось. После полной очистки компьютера Cureit был обнаружен в папке с профилем пользователя зараженный файл DLL.

В планировщике заданий было удалено 4 подозрительных задания и был вычищен файл hosts.

C:\Windows\tasks\At1.job
C:\Windows\tasks\At2.job
C:\Windows\tasks\At3.job
C:\Windows\tasks\At4.job

Такой нехитрый вот код я обнаружил в этом файле, почем на первый взгляд файл был нормальным, но прокрутив его до конца вниз обнаружилось вот что.

127.0.0.1 nezayti.ru nekontakt2.ru hellhead.ru anonymizer.ru xy4-anonymizer.ru unboo.ru
127.0.0.1 obhodilka.ru nemir.ru workandtalk.ru webvpn.org anonim.ttu.su websplatt.ru
127.0.0.1 o.vhodilka.ru timp.ru urlbl.ru dostupest.ru waitplay.ru antiblock.ru
127.0.0.1 pinun.ru anonim.do.am netdostupa.com anonimix.ru jelya.ru v.vhodilka.ru
127.0.0.1 ok-anonimaizer.ru spoolls.com neklassniki.ru dardan.ru vhodilka.ru dostyp.ru
127.0.0.1 adminimus.ru diazoom.ru webmurk.ru raskruty.ru cameleo.ru razblokirovatdostup.ru
37.10.117.75 www.google-analytics.com counter.rambler.ru mc.yandex.ru admulti.com counter.spylog.com
37.10.117.77 m.odnoklassniki.ru vk.com www.odnoklassniki.ru my.mail.ru odnoklassniki.ru m.vk.com wap.odnoklassniki.ru

Он заблокировал доступ ко всем сайтам, с которых можно найти информацию по удалению вируса, перенаправив их на адрес 127.0.0.1. А также прописал к сайтам свой сервер 37.10.117.75 и компьютер выдавал статистику подставному серверу, а не настоящему гугл аналитикс и яндекс метрика. Возможно это было сделано для того, чтобы не спалиться.

Плюс ко всему вместо настоящих одноклассников, контакта и моего мира загружались странички с сервера 37.10.117.77. На этих страничках людям предлагали сменить пароль. И не просто сменить, а ввести старый пароль. Ну и конечно новый.

После чего предлагали отправить бесплатное СМС или присылали СМС, из которого нужно ввести код. Все зависит от фантазии и наглости автора вируса.

Таким нехитрым образом злоумышленники получали настоящие пароли страниц людей в социальных сетях. После чего продавали эти пароли или рассылали с них спам. Ну и как бонус, доверчивые пользователи попадали на бабки за платные СМС или подключали себе всякие СМС услуги, за невъебенные бабки.