
Международная компания по разработке антивирусного ПО Eset заявила о
том, что в интернете активно распространяется новый вирус
Win32/Bicololo, который действует преимущественно в социальных сетях.
Вредоносная программа используется для кражи персональной информации.
Троян проявляет себя как ссылку на графические файлы с расширением .jpg и
при активации загружает вредоносное программное обеспечение,
модифицируя системный файл hosts и переправляя пользователя на фальшивую
страницу вместо загрузки страницы социальной сети.
В один день Bicololo стал проявлять себя одновременно в четырех
различных странах – Аргентине, Бразилии, Колумбии и Чили. Примечательно,
что в его коде были обнаружены комментарии на русском языке.
Хотя в измененный файл hosts и прописывается много мобильных версий
сайтов, действует этот вирус только на семейство настольных операционных
систем Windows.
Для размещения вредоносного ПО используются легальные ресурсы,
расположенные в доменных зонах .ar, .br, .cl и .co. Эти ресурсы были
заражены хакерами и в дельнейшем использовались без ведома их
владельцев. Скорее всего, злоумышленники нашли эти сайты с помощью
специальных инструментов для поиска уязвимых web-приложений.
При развертывании своей схемы взломщики использовали два сервера. На
одном из них хранились фальшивые подделки «ВКонтакте», «Одноклассники» и
Mail.ru, а другой применяется для связи с вредоносной программой.
IP-адреса серверов указывают на то, что они расположены в Латинской
Америке. |