Социальные сети, такие как facebook, MySpace, Orkut и т.д., являются одними из наиболее популярных сетевых ресурсов современного Интернета. Фактически, именно они олицетворяют собой то, что называется Web 2.0.
Авторы вредоносных программ уже обратили свое внимание на социальные сети. Некоторые сети уже становились объектами атак, в том числе нацеленных на получение персональных пользовательских данных.
В России среди социальных сетей наибольшей популярностью пользуются проекты ВКонтакте.ру, Одноклассники.ru и LiveJournal.Мы обнаружили сетевого червя Rovud, который распространяется среди пользователей системы VKontakte.
Первый вариант червя был задетектирован рано утром 16 мая. Принцип его действия достаточно прост, но вместе с тем оригинален.
Тело червя размещено на одном из сайтов (возможно, взломанном) под именем deti.jpg. Для первого варианта червя ссылка имела вид:
На самом деле, при клике на ссылку загружался не файл с изображением, а исполняемый файл.
Будучи запущенным на компьютере, червь ищет cookies пользователя ВКонтакте, после чего использует их для соединения с сайтом и начинает рассылать вредоносную ссылку всем «контактам» зараженного пользователя.
Если кто-нибудь из получателей проследует по ссылке, загрузит и запустит файл, цикл заражения повторится, и теперь уже «контакты» новой жертвы также получат опасную ссылку.
Работа червя сопровождается визуальными эффектами. При запуске он показывает на экране картинку:
Кроме того, червь обладает деструктивной функцией. 25 числа он должен вывести на экран следующий текст:
После чего червь начнет удалять файлы на компьютере жертвы.
Несмотря на то, что первый вариант червя достаточно быстро был обнаружен и другими антивирусными компаниями, а служба поддержки «ВКонтакте» была проинформирована об инциденте, остановить эпидемию за один день не удалось.
Неизвестные авторы червя изменили формат ссылки на зараженный сайт, которая посылается контактам жертвы, и таким образом смогли инициировать новую волну эпидемии. Очевидно, что администрация ВКонтакте просто программно запретила сообщения со ссылкой на файл deti.jpg. Авторы червя очень элегантно обошли это «ограничение».
Вариант Rovud.c рассылал ссылку:
В результате нажатия на нее пользователь перенаправлялся все на тот же самый сайт http://roland.misecure.com/deti.scr.
Новый вариант — Rovud.c — был обнаружен утром 17 мая и в настоящее время количество обращений от пользователей, обнаруживших его «вредоносные» ссылки в своих учетных данных ВКонтакте, значительно превышает число запросов, связанных с первой версией червя!
Что еще более интересно — у этого червя существует предыстория. Дело в том, что за день до его появления, по Рунету прошлая массовая волна фишинговой атаки. Ее целью являлась «накрутка» рейтинга некоего пользователя:
Вконтакте.ру начинает розыгрыш призов, а также гарантированный бонус в размере +300% к Вашему текущему рейтингу.
Для получения бонуса и участия в розыгрыше призов — отправьте бесплатное СМС с текстом: id10682124 на номер 4449
С уважением,
Администрация Вконтакте.ру
Такое SMS просто поднимет рейтинг пользователя с указанным id. И разумеется, оно не бесплатное — стоимость отправленного сообщения составляет $3,0 без НДС.
В тот же день личная страничка данного пользователя была удалена администрацией ВКонтакте. А на следующий день появился червь Rovud, обыгрывающий тему с повышением рейтинга и подписывающий сообщение об «уничтожении компьютера» именем Павла Дурова, создателя проекта ВКонтакте.
Что это — просто месть «обиженных» хакеров или же некая продуманная атака против ВКонтакте, призванная подорвать его репутацию и снизить число пользователей, мы не знаем.
На момент написания этого поста файл червя уже был удален с сайта, с которого происходило его распространение. Однако это не исключает того, что в ближайшее время в Рунете появится очередной вариант Rovud.
Продолжаем следить за развитием ситуации.
Червь ВКонтакте