В начале июня появилась одна из модификаций троянов-вымогателей Trojan.Hosts. Зловредная программа "Trojan.Hosts.75" вымогает деньги у зараженных пользователей социальной сети "В Контакте", уводя их на "подставной" сайт.
"Trojan.Hosts.75" перенаправляет пользователя на фишинговую страницу, которая внешне выглядит точно также, как настоящий "В Контакте".
А там, якобы от лица администрации сайта, доверчивому пользователю сообщается, что отныне каждая анкета должна быть активирована при помощи платного SMS, "в связи с многочисленными регистрациями анонимных анкет и увеличением уровня спам-рассылок". В частности, российским "контактерам" предлагают отправить сообщение на номер 3354 или 3353, сообщает сайт компании Doctor Web.
Суть работы этого трояна в следующем - на зараженном компьютере он распаковывает на диск bat-файл, который изменяет системный файл hosts, система Windows хранит такой файл в каталоге C:\WINDOWS\system32\drivers\etc\ (его можно отредактировать в "Блокноте").
Этот файл содержит сопоставления IP-адресов сайтов их доменным именам. Злоумышленники-авторы трояна сопоставляют на зараженных компьютерах IP-адрес своего фишингового сайта с наиболее популярными сайтами в русскоязычной сети, в том числе с сайтами "В контакте", "Одноклассники", "Яндекс" и другими.
Таким образом, набирая в адресной строке, например, "vkontakte.ru" или "mail.ru", пользователь, у которого троян изменил hosts, попадает на сайт мошенников, внешне копирующий часть страниц этих известных сайтов.
