Сегодня пользователи сервиса мгновенных сообщений ICQ подверглись вирусной атаке со стороны неизвестных злоумышленников, распространяющих вредоносную программу Snatch. Вирус представляет собой исполняемый файл Snatch.exe, который рассылается с зараженных аккаунтов. Вредоносное приложение появилось в «аське» около полудня, его жертвами стали пользователи под Windows.
В случае запуска этого файла, работа клиентской программы (ICQ, QIP) прерывается, а при перезапуске червь Snatch.exe получает контроль над учетной записью и рассылает себя другим пользователям из списка контактов.
Насчет того, умеет ли червь менять пароль к учетной записи, информация пока противоречивая. По данным «Лаборатории Касперского», червь умеет угонять «аську», а вот в компании «Доктор Веб» уверены в обратном: «Насколько нам известно, данный вирус не изменяет пароль на ICQ, а лишь использует полученный пароль для своего дальнейшего распространения»,— рассказал аналитик по вирусной обстановке DrWeb Валерий Ледовский. О каких-либо других вредоносных эффектах Snatch.exe не сообщается.
Известно также, что программа умеет маскироваться под живого человека и поддерживать примитивный разговор, чтобы убедить жертву в том, что файл необходимо открыть. В лексиконе червя есть фразы «глянь ))», «нет, глянь )))», «ну мини игра типа )», «привет!» и ряд других незамысловатых выражений.
Понедельничная атака странного вируса является нетипичной, так как вирусописатели обычно стараются скрыть свои творения, чтобы как можно дольше оставаться незамеченными. «Сейчас такие вредоносные программы появляются не так часто, как несколько лет назад, большинство современных вирусописателей стремится скрывать действия вредоносной программы как можно дольше»,— поделился своим мнением Денис Масленников, руководитель группы исследования мобильных угроз «Лаборатории Касперского».
По данным сервиса Virus Total, из более чем 40 антивирусов Snatch.exe распознают только девять: Authentium, BitDefender, Emsisoft, F-Prot, F-Secure, GData, Ikarus, Panda и Sunbelt. Однако опрошенные GZT.RU эксперты утверждают, что эти сведения не совсем корректны, а упомянутый вирус занесен в базы данных антивирусов «Доктор Веб», «Лаборатории Касперского» и Nod32 от ESET.
Злоумышленники неслучайно облюбовали данный канал передачи данных для распространения вредоносных программ, ведь архитектура ICQ удобна для организации спам-рассылок, говорит Валерий Ледовский из «Доктор Веб.» «Владельцы серверов ICQ не гарантируют сохранения тайны переписки своих пользователей. Поэтому пользователям "аськи" следует лишний раз задуматься о ее замене. Альтернативных протоколов, лишённых подобных недостатков, сейчас хватает».
А по мнению Дениса Масленникова из «Лаборатории Касперского» виной всему человеческий фактор, так как многие пользователи склонны доверять файлам, полученным от пользователей из их контакт-листа. «Для того, чтобы предотвратить заражение новой вредоносной программой, а также другими подобными червями, не следует доверять любым исполняемым файлам, которые были получены в сообщениях, даже если файл передается от пользователя из контакт-листа»,— предупреждает аналитик.
Стоит также отметить, что авторы вируса могут переименовать его, однако размер исполняемого файла при этом должен остаться неизменным.
В случае, если «аська» уже заражена червем Snatch.exe, и антивирус не может его распознать, порядок действий должен быть такой:
- Запустить диспетчер задач (Ctrl+Alt+Del) и принудительно завершить процесс Snatch.exe.
- Открыть папку, в которую сохранился вирус, и удалить его вручную. Далее удалить Snatch.exe из корзины.
- Вычистить реестр Windows от всех ссылок на Snatch. Запуск реестра: открыть меню «Пуск» и набрать в командной строке «regedit», потом с помощью кнопки F3 произвести поиск по слову Snatch и удалить все ссылки на вирус.
- Также не помешает переустановить ICQ и сменить пароль.
Комментарии (0)