Вирусописатели всегда активно используют различные социально-значимые события, которые случаются в нашей повседневной жизни. Рождественская и новогодняя тематика не стала исключением и уже активно используется не первый год среди злоумышленников.
На этот раз меня привлекла очередная итерация распространения небезызвестного червя Koobface, который начал свое активное распространение еще в начале этого года.
Способ заражения, который использует данный червь, довольно прост — при попытке просмотра флеш-видеоролика вам предлагается установить якобы недостающий видео-кодек, и если вы запустите предлагаемый злоумышленниками исполняемый файл, то подвергнете свою систему вирусному заражению.
Подобные вредоносные флеш-ролики можно обнаружить на вполне легальных ресурсах. Более того, они уже были замечены на таких известных сервисах, как Facebook, Youtube, Blogspot, Twitter и др.
После своей активации Koobface скачивает и устанавливает целый набор вирусных компонентов.
Подробно на всех компонентах я останавливаться не буду. Но более всего меня заинтересовал модуль, который блокирует экран пользователя и выдает сообщение с просьбой ввести капчу, приведенную на картинке. Данный модуль появился в составе этого червя еще в начале лета, но с течением времени характер его использования все больше походит на промышленный сервис подбора капчи.
В первых версиях модуля подбора капчи не было особо хитрых проверок на корректность ее введении, и правильным оказывался практически любой введенный текст. Сейчас же с некоторой периодичностью происходит обращение к ресурсам, например:
captcha.com
capthcabreak.com
В ответ от них мы получаем следующую информацию:
14566970|http://captcha.com/captcha/tmp/14566970.jpg|Enter both words below, separated by a space.|([a-zA-Z0-9\$\.\,\/]+)([ ]+)([a-zA-Z0-9\$\.\,\/]+)
Это местоположение картинки с капчей, текст, описывающий действия пользователя относительно нее и правила проверки на корректность введенной информации (оно задано в виде регулярного выражения в самом конце). Затем происходит закачка указанной картинки с капчей и ее демонстрация пользователю.
Если посетить страничку capthcabreak.com/index.php, то можно увидеть интерфейс логина для клиентов этого сервиса подбора капчи.
Идея капча-ферм (сервис для подбора капчи) не нова, она уже давно реализована и коммерциализирована в странах, где есть дешевая рабочая сила (Китай, Индия и др.). Пользователи таких сервисов платят некоторую сумму за каждую правильно введенную капчу. Но в нашем случае зараженные пользователи, вводящие капчу, не получают никаких денег.
На этот раз меня привлекла очередная итерация распространения небезызвестного червя Koobface, который начал свое активное распространение еще в начале этого года.
Способ заражения, который использует данный червь, довольно прост — при попытке просмотра флеш-видеоролика вам предлагается установить якобы недостающий видео-кодек, и если вы запустите предлагаемый злоумышленниками исполняемый файл, то подвергнете свою систему вирусному заражению.
Подобные вредоносные флеш-ролики можно обнаружить на вполне легальных ресурсах. Более того, они уже были замечены на таких известных сервисах, как Facebook, Youtube, Blogspot, Twitter и др.
После своей активации Koobface скачивает и устанавливает целый набор вирусных компонентов.
Подробно на всех компонентах я останавливаться не буду. Но более всего меня заинтересовал модуль, который блокирует экран пользователя и выдает сообщение с просьбой ввести капчу, приведенную на картинке. Данный модуль появился в составе этого червя еще в начале лета, но с течением времени характер его использования все больше походит на промышленный сервис подбора капчи.
В первых версиях модуля подбора капчи не было особо хитрых проверок на корректность ее введении, и правильным оказывался практически любой введенный текст. Сейчас же с некоторой периодичностью происходит обращение к ресурсам, например:
captcha.com
capthcabreak.com
В ответ от них мы получаем следующую информацию:
14566970|http://captcha.com/captcha/tmp/14566970.jpg|Enter both words below, separated by a space.|([a-zA-Z0-9\$\.\,\/]+)([ ]+)([a-zA-Z0-9\$\.\,\/]+)
Это местоположение картинки с капчей, текст, описывающий действия пользователя относительно нее и правила проверки на корректность введенной информации (оно задано в виде регулярного выражения в самом конце). Затем происходит закачка указанной картинки с капчей и ее демонстрация пользователю.
Если посетить страничку capthcabreak.com/index.php, то можно увидеть интерфейс логина для клиентов этого сервиса подбора капчи.
Идея капча-ферм (сервис для подбора капчи) не нова, она уже давно реализована и коммерциализирована в странах, где есть дешевая рабочая сила (Китай, Индия и др.). Пользователи таких сервисов платят некоторую сумму за каждую правильно введенную капчу. Но в нашем случае зараженные пользователи, вводящие капчу, не получают никаких денег.
