Не все то KIS, что красная табличка

На прошлой неделе через социальную сеть «ВКонтакте» под видом нового приложения, изменяющего тему оформления персональной странички, начал распространяться троянец, модифицирующий на зараженном компьютере файл hosts ОС Widows.

Чтобы при открытии файла hosts данные, добавленные троянцем, не были видны сразу, они записаны в конец файла после пустой незаполненной области, получившейся в результате перевода строк.

В измененном файле hosts прописано около 100 наиболее популярных у российских пользователей сайтов.

Фрагмент измененного троянцем файла hosts

При попытке пользователя зараженного компьютера выйти на любой из этих сайтов (кроме vkontakte.ru), он перенаправляется на сервер, который выводит в браузере следующее сообщение, оформленное в стиле Web-антивируса ЛК:

Фальшивое сообщение KIS

Недавно Дмитрий Бестужев в своем блогпосте рассказал о фальшивом антивирусе с похожим на продукт «Лаборатории Касперского» оформлением. Как видим, интерфейс антивирусных решений используется злоумышленниками не только для распространения лже-антивирусов. В данном случае сообщение, очень похожее на сообщение KIS, используется, чтобы, не вызвав подозрений у пользователя, отослать его к поддельному сайту vkontakte.ru.

При попытке пользователя зайти на сайт vkontakte.ru, он перенаправляется на фальшивую главную страницу социальной сети. Расположена она на том же сервере, который выдает фальшивое сообщение KIS. Введенные логин и пароль отправляются злоумышленникам, после чего сервер возвращает информацию о якобы заблокированной странице пользователя — в связи с рассылкой с данного компьютера спам-сообщений. Для предоставления доступа к сайту пользователю предлагается отправить SMS на короткий номер:

Фальшивое сообщение о заблокированной странице пользователя соцсети ВКонтакте

Многие пострадавшие пытаются самостоятельно справиться с проблемой и ищут помощи на форумах, где им советуют в первую очередь найти и проверить файл hosts. Этот файл троянец делает скрытым, но в той же папке создает файл hosts.txt, видимый пользователям. Текст, который в нем содержится, мошенники явно адресовали своим жертвам:

Если пользователь попадется на удочку мошенников и отправит платную SMS (цена которой, по свидетельству пострадавших, превышает указанные 100 руб.), полученный им код активации никак не изменит ситуацию: hosts файл на компьютерах жертв невозможно вернуть к исходному состоянию со стороны сервера.

Данный троянец детектируется «Лабораторией Касперского» как Trojan.Win32.Qhost.ncw и представляет собой .NET-приложение.