Новый троянец с помощью зараженных ПК осуществляет массовую рассылку спамерских SMS-сообщений на номера российских абонентов сотовой связи. Однако, по словам экспертов, особенно тревожиться по этому поводу не стоит: вредоносный код не способен сам размножаться, да и защита от подобных рассылок обеспечивается на достаточно высоком уровне.
Вредоносный код под названием Delf-HA Trojan попадает на компьютер, работающий на базе Windows, маскируясь под UPX-файл (в часности, с именем inst.exe). После запуска троянец прописывает себя в системный реестр, создав там файл rundnm.exe, и обращается к сайту www.vlasof1.narod.ru для получения файла с текстом SMS-сообщения (sms.txt). Спамерский сайт в настоящее время уже заблокирован.
Затем троянец пытается обратиться к веб-формам SMS-шлюзов российских операторов, через которые и отсылает сообщения российским абонентам сотовой связи. Номера абонентов выбираются случайным образом, поэтому не все спамерские послания достигают цели. Содержание писем варьируется, некоторые из них рекламируют загрузку музыкальных файлов формата МР3 с сайта в Рунете (например, "Ya tut nashel v internete klassni sait na kotorom pesni v mp3 bez golosa ispolnitela-minsovki.WWW.MINUSOVKA.RU .Dla muzikanta-eto klad").
Спам рассылается на номера, начинающихся с +7921 (федеральный код, используемый «Мегафоном» в Северо-Западном регионе) или +7911 (принадлежащий МТС в том же регионе). В то же время, в «Мегафоне» CNews.ru заявили, что с массовой рассылкой SMS-спама абоненты данной сети не сталкивались. «Уровень защиты абонентов сети "МегаФон-Москва" от подобных проблем очень высокий», - отметил советник генерального директора ЗАО "Соник Дуо" Роман Проколов.
В пресс-службе МТС CNews.ru сообщили, что ситуация с SMS-спамом постоянно «мониторится», распознаются новые способы его распространения: собираются «сигналы» от абонентов через call-центры, задействованы различные программно-аппаратные средства. Например, для идентификации спама применяется так называемый «тест Тюринга», которым пользуются все интернет-провайдеры. "Благодаря этому комплексу мер мы можем пресекать попытки несанкционированных рассылок на самых ранних этапах – до абонентов доходит лишь незначительная доля спама", - отметили представители МТС.
В отличие от других вирусов, Delf-HA Trojan не способен сам распространяться, - заразить им ПК можно, лишь запустив пришедшее по почте вложение, содержащее вредоносный код. Поэтому на данный момент этот троянец не успел заразить большое число компьютеров, однако специалисты в области информационной безопасности предупреждают, что само его появление может положить начало новой тенденции. "Это еще одно доказательство того, что спамеры объединяют усилия с хакерами и вирусописателями, - заявил в интервью журналу New Scientist Грэм Клули (Graham Cluley), старший консультант по технологиям из британской антивирусной компании Sophos. – SMS-спамеры идут по стопам авторов нежелательных рассылок по электронной почте, используя для этого незащищенные ПК ни о чем не подозревающих пользователей". Он добавил также, что если SMS-шлюзы способны рассылать сообщения не только по России, то проблема может возрости до мировых масштабов.
"Лаборатория Касперского" обнаружила данную троянскую программу еще 17 октября этого года, рассказали CNews.ru в информационной службе компании. «У нас пока не было сообщений от российских пользователей о случаях заражения, хотя прошел уже почти целый месяц, - говорит Ольга Кобзарева, и.о. руководителя данной службы. - Этот способ комбинации вредоносных программ не нов - например, в конце 90-х годов существовал макровирус Timfonica, обладавший функцией рассылки SMS через испанского мобильного оператора. Более свежий пример: недавний червь Opasoft.s посылал IP-адреса зараженных машин на мобильный телефон украинской сотовой сети. Троянская программа TrojanDropper.Win32.Delf.fa, о которой идет речь сейчас, использует веб-интерфейсы мобильных операторов для рассылки SMS-сообщений. А на всех подобных сайтах должны существовать процедуры подтверждения отправки SMS, исключающие автоматическую рассылку сообщений (как раз в случае с Opasoft на украинской версии сайта была подобная процедура, а на английской - нет). Речь идет о специальном коде, который нужно ввести пользователю вручную в веб-форме мобильного оператора, чтобы подтвердить факт отправки сообщения. Соответственно, масштаба эпидемии возникнуть просто не может, так как на сайтах российских сотовых операторов подобные процедуры, насколько нам известно, существуют».
Что же касается новой тенденции, то, как полагают в "Лаборатории Касперского", она совершенно не нова. «Мы уже довольно давно говорим о сращивании вирусописательских и спамерских технологий, еще с начала 2004 года эти тенденции стали очевидными, - отметила г-жа Кобзарева. - Только если сначала речь шла в основном о рассылке вирусов через спам и передаче сетей зомби-компьютеров спамерам, то теперь сюда подключаются и мобильные технологии, в частности, рассылка SMS-сообщений».
По данным журнала New Scientist, SMS-спам становится все более распространенным: около половины всех пользователей мобильной связи в Европе получают подобные рекламные сообщения чаще двух раз в месяц.
Вредоносный код под названием Delf-HA Trojan попадает на компьютер, работающий на базе Windows, маскируясь под UPX-файл (в часности, с именем inst.exe). После запуска троянец прописывает себя в системный реестр, создав там файл rundnm.exe, и обращается к сайту www.vlasof1.narod.ru для получения файла с текстом SMS-сообщения (sms.txt). Спамерский сайт в настоящее время уже заблокирован.
Затем троянец пытается обратиться к веб-формам SMS-шлюзов российских операторов, через которые и отсылает сообщения российским абонентам сотовой связи. Номера абонентов выбираются случайным образом, поэтому не все спамерские послания достигают цели. Содержание писем варьируется, некоторые из них рекламируют загрузку музыкальных файлов формата МР3 с сайта в Рунете (например, "Ya tut nashel v internete klassni sait na kotorom pesni v mp3 bez golosa ispolnitela-minsovki.WWW.MINUSOVKA.RU .Dla muzikanta-eto klad").
Спам рассылается на номера, начинающихся с +7921 (федеральный код, используемый «Мегафоном» в Северо-Западном регионе) или +7911 (принадлежащий МТС в том же регионе). В то же время, в «Мегафоне» CNews.ru заявили, что с массовой рассылкой SMS-спама абоненты данной сети не сталкивались. «Уровень защиты абонентов сети "МегаФон-Москва" от подобных проблем очень высокий», - отметил советник генерального директора ЗАО "Соник Дуо" Роман Проколов.
В пресс-службе МТС CNews.ru сообщили, что ситуация с SMS-спамом постоянно «мониторится», распознаются новые способы его распространения: собираются «сигналы» от абонентов через call-центры, задействованы различные программно-аппаратные средства. Например, для идентификации спама применяется так называемый «тест Тюринга», которым пользуются все интернет-провайдеры. "Благодаря этому комплексу мер мы можем пресекать попытки несанкционированных рассылок на самых ранних этапах – до абонентов доходит лишь незначительная доля спама", - отметили представители МТС.
В отличие от других вирусов, Delf-HA Trojan не способен сам распространяться, - заразить им ПК можно, лишь запустив пришедшее по почте вложение, содержащее вредоносный код. Поэтому на данный момент этот троянец не успел заразить большое число компьютеров, однако специалисты в области информационной безопасности предупреждают, что само его появление может положить начало новой тенденции. "Это еще одно доказательство того, что спамеры объединяют усилия с хакерами и вирусописателями, - заявил в интервью журналу New Scientist Грэм Клули (Graham Cluley), старший консультант по технологиям из британской антивирусной компании Sophos. – SMS-спамеры идут по стопам авторов нежелательных рассылок по электронной почте, используя для этого незащищенные ПК ни о чем не подозревающих пользователей". Он добавил также, что если SMS-шлюзы способны рассылать сообщения не только по России, то проблема может возрости до мировых масштабов.
"Лаборатория Касперского" обнаружила данную троянскую программу еще 17 октября этого года, рассказали CNews.ru в информационной службе компании. «У нас пока не было сообщений от российских пользователей о случаях заражения, хотя прошел уже почти целый месяц, - говорит Ольга Кобзарева, и.о. руководителя данной службы. - Этот способ комбинации вредоносных программ не нов - например, в конце 90-х годов существовал макровирус Timfonica, обладавший функцией рассылки SMS через испанского мобильного оператора. Более свежий пример: недавний червь Opasoft.s посылал IP-адреса зараженных машин на мобильный телефон украинской сотовой сети. Троянская программа TrojanDropper.Win32.Delf.fa, о которой идет речь сейчас, использует веб-интерфейсы мобильных операторов для рассылки SMS-сообщений. А на всех подобных сайтах должны существовать процедуры подтверждения отправки SMS, исключающие автоматическую рассылку сообщений (как раз в случае с Opasoft на украинской версии сайта была подобная процедура, а на английской - нет). Речь идет о специальном коде, который нужно ввести пользователю вручную в веб-форме мобильного оператора, чтобы подтвердить факт отправки сообщения. Соответственно, масштаба эпидемии возникнуть просто не может, так как на сайтах российских сотовых операторов подобные процедуры, насколько нам известно, существуют».
Что же касается новой тенденции, то, как полагают в "Лаборатории Касперского", она совершенно не нова. «Мы уже довольно давно говорим о сращивании вирусописательских и спамерских технологий, еще с начала 2004 года эти тенденции стали очевидными, - отметила г-жа Кобзарева. - Только если сначала речь шла в основном о рассылке вирусов через спам и передаче сетей зомби-компьютеров спамерам, то теперь сюда подключаются и мобильные технологии, в частности, рассылка SMS-сообщений».
По данным журнала New Scientist, SMS-спам становится все более распространенным: около половины всех пользователей мобильной связи в Европе получают подобные рекламные сообщения чаще двух раз в месяц.
Автор: Alov
Раздел: Сотовая связь
Дата добавления: 11.11.2004