Если вы следите за IT-новостями, то, вероятно, вы, уже видели сообщения об обнаруженном нами новом черве — Net-Worm.Win32.Koobface, — нацеленном на пользователей социальных сетей Facebook и MySpace. На данный момент в нашем распоряжении 4 варианта; возможно, появятся и новые.
Червь использует достаточно простой метод: пользователь социальной сети (MySpace или Facebook) получает от своего знакомого ссылку на «видео», а когда пытается просмотреть ролик, появляется сообщение о необходимости обновить Flash Player. Этот метод сейчас часто встречается: стоит загрузить файл, якобы содержащий дистрибутив Flash Player, — и на вашем компьютере появится новая вредоносная программа.
Конечно, это не первая вредоносная программа, ориентированная на пользователей Facebook или MySpace. Просмотрев наши коллекции, мы нашли более ранние варианты этого червя, нацеленные только на MySpace, но не на Facebook. Очевидно, вирусописатели, которые произвели на свет Koobface, стараются добиться максимального расширения круга жертв, чтобы увеличить число компьютеров в ботнете.
Ребята, стоящие за Koobface, связаны и с «ложными антивирусами» XP Antivirus и Antivirus2009 — шпионскими программами, выдаваемыми за антивирусные приложения. Мы обнаружили инсталляторы этих шпионских программ, содержащие также код червя. А троянец Trojan-Downloader.Win32.Fraudload, который использовался для загрузки XP Antivirus и проч., теперь задействован для загрузки файлов червя.
Результат — двойной удар: мало того что компьютеры-жертвы заражаются червем и становятся частью ботнета, — в придачу они еще и получают шпионскую программу.
Двойной удар по 2.0