Многие пользователи уже столкнулись с социальным трояном, распространяемым через Skype и социальные сети. Эксперты eScan рассказали, как избежать заражения.
Короткую ссылку, созданную с помощью goo.gl, пользователи получают от своих авторизованных контактов с текстом «это новый аватар вашего профиля?))» или «ey eto vasha novaya kartina profil’?». При переходе по ней загружается ZIP-архив с вредоносным исполняемым файлом с расширением *.exe — ранее известным червем Worm.NgrBot (или Dorkbot), включающим зараженный компьютер в ботнет и привлекающим его к DDoS-атакам, а также способным похищать пароли от файлообменников, почты, легальных сервисов и социальных сетей, блокируя доступ к сайтам антивирусных компаний.
«Данный тип вирусов представляет собой достаточно неприятную угрозу, поскольку распространяется от „доверенного“ источника, каким пользователи обычно считают свои контакты в Skype. Этим и объясняется высокий уровень заражения — даже пользователи, которым несколько раз объясняли об опасности подобных вирусных атак, все равно могут заразиться, — комментируют эксперты eScan в России и СНГ. — Данная угроза опасна и тем, что распространяется через съемные носители информации (флеш-диски), причем используется не простой автозапуск вируса, а сокрытие всех папок на диске и замена их ярлыками, при открытии которых раскрывается оригинальная папка, но одновременно запускается еще один экземпляр вирусной программы. Восстановление нормального доступа к информации на съемном диске требует очистки атрибутов файлов/папок и удаления созданных вирусом ярлыков».
Помимо обычных вопросов о безопасности Skype и вирусной «социальной инженерии», данная атака также подтверждает еще один тезис, ранее озвученный экспертами eScan: об опасности «коротких ссылок». Данные сервисы, как правило, используются в социальных сетях — там, где имеются ограничения на общий объем сообщений. Но одновременно такие сервисы стали популярны и у вирусописателей, поскольку по короткой ссылке пользователь не может понять, куда ведет данная ссылка. Именно короткая ссылка на закачку вредоносного файла и находилась в сообщениях с зараженных компьютеров.
Эксперты eScan советуют установить современную антивирусную программу последнего поколения. Но даже этого может быть недостаточно. Пользователи должны знать базовые принципы безопасности при работе в сети Интернет, эксперты eScan напоминают:
- не открывайте сообщения от неизвестных людей, не переходите по ссылкам в таких сообщениях;
- не открывайте в любых сообщениях «короткие» ссылки, по которым невозможно понять, куда ссылка ведет (ссылки типа http://byt.ly/E5892 и подобные);
- прежде чем открыть ссылку, проверьте, соответствует ли реальная ссылка той, что отображается в сообщении. Для этого можно скопировать ссылку: щелкнув ПРАВОЙ кнопкой мыши, выбрать пункт «скопировать ссылку», вставить ее в блокнот и проверить соответствие. Если есть несоответствие (например, вместо http://www.bank.ru будет что-то вроде http://www.bank.ru.cn) — это, скорее всего, вирусная ссылка. Также многие программы показывают реальную ссылку, если просто навести курсор на нее, не нажимая кнопок;
- не открывайте ссылки в сообщениях от имени банков и платежных систем, если не уверены в их необходимости. Если есть сомнения — обратитесь в службу поддержки для проверки, были ли разосланы банком такие сообщения;
- наконец, никогда не запускайте исполняемые файлы, которые присылают по почте или через систему мгновенного обмена сообщениями, в том числе Skype (файлы с расширением * .exe).