Сегодня, просматривая новости своего аккаунта в VKontakte, я наткнулся на группу с интригующим для выпускников школ и абитуриентов названием – «ЕГЭ 2010. У Вас есть отличная возможность поступить в ВУЗ на бюджетной основе». Это название мне показалось подозрительным, и я решил проверить содержимое группы лично.
Скриншот сайта группы «ЕГЭ 2010. У Вас есть отличная возможность поступить в ВУЗ на бюджетной основе» в социальной сети VKontakte
Моё внимание сразу же привлекла ссылка, по которой предлагается скачать и запустить файл. Я незамедлительно скачал предполагаемого зловреда. После первичного просмотра оказалось, что файл представляет собой установщик на основе Smart Installer. Распаковав его, я получил три файла: легальный uninstall от Smart Installer, установочный скрипт и hosts-файл. Мои предположения оправдались – это вредоносный файл.
Фрагмент извлечённого установочного скрипта Smart Installer
Фрагмент извлечённого hosts-файла
Что интересно, в hosts-файл ссылки не просто дописаны в конец, а ещё и «окружены» множеством символов переносов строки. Таким образом, если открыть файл стандартным текстовым редактором, например блокнотом, то на первом экране будут присутствовать только строки оригинального hosts-файла. Такой приём позволяет ввести в заблуждение тех пользователей, которые могли предположить что-то неладное в системе.
Я пошёл дальше и решил до конца распутать замысел злоумышленников. Перейдя по адресу, который приведён на предыдущем скриншоте, я попал на подставной сайт сети VKontakte.
Страница подставного сайта VKontakte
Я ввёл произвольные данные в качестве логина и пароля, и передо мной появилась страница, в которой предлагалось отправить sms на короткий номер для разблокировки аккаунта. Проверив стоимость отправки на сайте smscost.ru, я увидел, что она колеблется от 100 до 300 рублей, в зависимости от номера.
Подводя черту под всем вышесказанным, хочу отметить, что злоумышленники очень оперативно реагируют на самые актуальные тенденции в нашем обществе. Сейчас начался сезон вступительных экзаменов в вузы. Притом что в настоящее время все выпускники обязаны сдавать ЕГЭ, а вузы учитывать его результаты, становится понятным расчёт тех, кто разрабатывал зловреда и подставной сайт. Таким образом, мало того, что доверчивый пользователь теряет деньги при отправке sms, так ещё его аккаунт может использоваться для рассылки спама.
В настоящее время вредоносный объект детектируется как Trojan.Win32.VkHost.agb, а ссылки блокируются Web-антивирусом.
ЕГЭ — как способ обмана пользователей и обогащения злоумышленников