Фраза «Это новый аватар вашего профиля» и короткая последующая ссылка, которая создана благодаря сервису goo.gl., с утра пятницы рассылается пользователям популярной программы Skype от абонентов, которые добавлены в список контактов.
После нажатия на данную ссылку, на персональном компьютере пользователя открывается zip-архив. Этот архив содержит очень опасную программу, так называемый «троян». Рассылку подобных сообщений совершает вирусная программа, которая под именем Trojan.Spamlink.1 добавлена в базы Dr.Web.
Сам вредоносный файл являет собой относительно давно известный многофункциональный червь под названием Worm.NgrBot . Этот червь включает «зараженный» ПК в ботнет и привлекает его к DDoS-атакам.
Большую опасность этот файл представляет еще и потому, что он может «красть» пароли от различных файлообменников (таких как Vip-file, Sms4file, Letitbit) и от электронной почты, социальных сетей (например, Facebook, Gmail). Кроме того файл блокирует доступ ПК к сайтам антивирусных компаний.
«Доктор Веб» уже сталкивались с подобными проблемами. Такие угрозы уже не один раз возникали, и специалисты с ними хорошо знакомы. Рекомендацией для пользователей будет предложение незамедлительного обновления вирусных баз.
Компания «Доктор Веб» предупреждает о возможных вирусах, содержащихся в ссылках, которые присылаются в сообщениях. Поэтому «Доктор Веб» призывает осторожно относиться к подобным ссылкам, не загружать и не открывать архивные файлы, которые получены через Skype по гиперссылкам. Это относится также и к тем файлам, которые присланы сообщениями от уже занесенных в список контактов пользователей.
«Доктор Веб» сообщает, что при заражении ПК данной вирусной программой, необходимо выполнить проверку всей системы с помощью Dr.Web CureIt - лечащей утилиты.
Надвигающуюся угрозу первой описала «Вирусблокада» (белорусская антивирусная компания) еще вчера, 4 октября. Уже сегодня о подтверждении такой угрозы сообщили «Доктор Веб» и «Лаборатория Касперского».
Сообщается, что вирус может распространяться не только через Skype, но также и через социальные сети Facebook и Вконтакте, через Twitter и даже через обычные флеш-носители.
Предполагается, что зародился вирус в странах СНГ, масштабы распространения пока не известны.
«Биржевой лидер» пишет, что подверженными атаке оказались не только российские пользователи, но и зарубежные. Некоторые западные пользователи, например, получили электронные письма, якобы рассылаемые програмой Skype. Письма содержали информацию об успешной смене пароля в Skype. При этом, если пользователи самостоятельно не меняли пароль, то они автоматически оказываются в зоне риска, поскольку могут подумать, что их учетная запись была взломана. Вследствие этого человек мгновенно проследует по предложенной ссылке, попав на поддельную страничку логина в Skype. Таким образом, все данные, которые там будут введены, окажутся в руках мошенников.
Методы борьбы с полученным трояном активно обсуждаются. Аналитики изучают вредоносную программу и предлагают различные способы борьбы с ней. Но кроме того, всем пользователям советуется не переходить по различным ссылкам, приходящим в соцсетях или Skype, а также проверить настройки Skype на наличие подозрительных приложений. Если же такие приложения будут обнаружены, то их следует немедленно удалить.
Предлагаемый метод лечения. Поскольку файл вирусной программы невозможно обнаружить стандартными средствами Windows, то для обнаружения и удаления вируса можно применить специальные утилиты. Такой утилитой может служить, например, Vba32 AntiRootkit.
1. После того, как утилита будет запущена, необходимо в появившемся диалоговом окне нажать “No”, затем дождаться ее загрузки
2. Далее в меню проходите по такой схеме: Tools > Low Level Disk Access Tool
3. Далее необходимо выбрать путь к папке %APPDATA% в левом окне утилиты
4. После этого в правой части утилиты станет виден вирусный файл с названием из беспорядочного набора букв, например Gkjdgh.exe;
5. Нажав правой кнопкой мыши на вирусный файл, таким образом вызвав контекстное меню, необходимо выбрать «Delete File» - т.е. удалить файл
6. После этого появится диалоговое окно, в котором необходимо подтвердить, что вы ходите удалить файл. Это можно сделать, выбрав команду «Yes»
7. Последним шагом будет выход из утилиты и перезагрузка компьютера.