Как да премахнете вируса Beacon

Веднага щом потребителите се „запознаха“ с доста нетривиалния вирус Beacon, когато беше открита модификацията Beacon.1. Този път нападателите бяха насочени към феновете на популярната игра Counter-Strike и пиратския софтуер

В момента потребителите се свързват с един от сървърите на играта, файлове със скрити в тях троянски коне започват да се изтеглят на техния компютър.

Обикновено, когато се свързва с Counter-Strike сървър, клиентската програма се изтегля от компоненти на отдалечен хост, които не са на клиентската машина, но се използват в играта. В този случай на екрана на компютъра на потребителя се отваря стандартен прозорец на браузъра, предлагащ изтегляне на два изпълними файла: svhost.exe и bot2.exe, както и файл с име admin.cmd (в началото на тази година този файл беше разпространява се под името Counter-Strike.cmd). Разбира се, това поведение е повече от необичайно за софтуера Counter-Strike.

В хода на разследването, проведено от анализатори, беше възможно да се установи следното. Първоначално група киберпрестъпници създадоха сървър за игри Counter-Strike, който разпространява троянския кон Win32.HLLW.HLProxy (преди известно време този троянски код обикновено се разпространява сред феновете на Counter-Strike като „полезно“ приложение, затова много го изтеглиха и инсталираха на собствените си компютри).

Основната цел на троянския контур е да стартира прокси сървър на компютъра на играча, като емулира няколко игрални сървъра на Counter-Strike на една физическа машина и предаде съответната информация на сървърите на VALVE. При достъп до сървъра за игри, емулиран от троянския клиент, програмата беше прехвърлена на истинския сървър на играта на нападателите, откъдето играчът веднага получи троянския Win32.HLLW.HLProxy. Така броят на заразените компютри нараства експоненциално. Освен това троянецът позволява организиране на DDoS атаки срещу сървъри за игри и сървъри VALVE, така че значителна част от тях може да бъде недостъпна по различно време. Може да се предположи, че една от целите на нападателите е била да събират пари от собствениците на игрови сървъри за свързване на нови играчи към тях, както и DDoS атаки срещу „нежелани“ игрови сървъри.

В момента, освен самия троянец, играчите, които се свързват със сървъра, получават допълнителни „подаръци“. Например троянският клиент Trojan.Click1.55929 се скрива във файла svhost.exe, което увеличава индикаторите на трафика на уебсайта w-12.ru и е свързано с партньорската програма http://tak.ru. Веднъж на заразен компютър, той създава копие на себе си с името SVH0ST.EXE в папката C: \ Program Files \ Common Files и се стартира за изпълнение. Добре познатият Trojan.Mayachok.1 се „скрива“ във файла bot2.exe, например в случаи на блокиране на достъпа до интернет и замяна на уебсайта на Rostelecom.

Феновете на играта Counter-Strike се съветват да бъдат внимателни: не трябва да се съгласявате с предложението на операционната система за изтегляне и инсталиране на изпълними файлове на вашия компютър.

Втората модификация на вируса Mayachok.1 засегна руските услуги за споделяне на файлове (на по-специфичен език - разбойници на файлове) със скъп пиратски софтуер. Разпространението се извършва с помощта на архивите на партньорската програма ZIPPRO, зад които наскоро е скрит Trojan.Mayachok.1.

Ако по-рано жертвата на тази измама е загубила само пари, като е изпратила платен SMS за отваряне на архива, сега тя също получава опасния троянски кон Trojan.Mayachok.1 на компютъра си, както и популярната лента с инструменти.

Както знаете, партньорските програми в Интернет са популярни не само сред обикновените потребители, които искат бързо да спечелят пари за себе си, но и сред по-големите играчи. По-специално, партньорски програми се използват от вирусописатели и онлайн измамници.

Генераторът ZIPPRO е софтуерно приложение, в което можете да персонализирате крайния визуален стил, да предоставите различни опции за плащане. По този начин писателите на вируси поставят празни файлове в архива. и да получавате пари за това.

Антивирусът открива инфекцията като троянски троянски кон.SMSSend.

Сега модифицираният вирус влиза в компютъра не само чрез архивите, описани по-горе (вече с различни версии на безплатен софтуер) от ZIPPRO, но и чрез лентата с инструменти [email protected]. В момента всички потребители, които са имали неблагоразумието да изтеглят всеки архив Trojan.SMSSend, с изключение на вече гарантираната лента с инструменти от Mail.Ru, също ще бъдат инсталирани Trojan.Mayachok.1. И "партньорите" създават офлайн ботнет за ZIPPRO със собствените си ръце.

Методът на лечение остава същият, процедурата за лечение е описана в съответната статия.