Любители пообщаться с друзьями через сайт «ВКонтакте» пятничным солнечным утром испытали настоящий шок: Рунет буквально взорвала новость о том, что в открытом доступе был выложен текстовый файл со списком логинов и паролей, принадлежащих тысячам пользователей. В первых сообщениях говорилось о 130 или даже 150 тысячах взломанных аккаунтов, но затем информация была уточнена: данных в 2-2,5 раза меньше. Указывается, что изначально 4,2-мегабайтный файл с паролями и логинами был опубликован на одном из хакерских сайтов, после чего быстро разошелся по Рунету.
Отмечается, что конфиденциальную информацию в течение нескольких дней собирал троян, цинично вживлённый в одно из приложений социальной сети. Вредоносная программа, осуществлявшая пополнение файла с паролями под названием Trojan.Win32.VkHost.an распространялась в сети «ВКонтакте» через одно из приложений, которое на данный момент уже заблокировано администрацией ресурса.
Как работает троян
Троян модифицирует файл hosts, который расположен по адресу C:WINDOWS/system32/drivers/etc таким образом, что при попытке пользователя зайти в социальную сеть браузер его компьютера открывает сайт-двойник. Когда пользователь вводит свои персональные данные в соответствующие окна, и конфиденциальная информация попадает в руки злоумышленников.
Далее на экране появляется окно со следующим сообщением:
- Внимание! Ваш аккаунт опознан системой как потенциально опасный. С вашего IP-адреса ведётся спам-рассылка. Аккаунт признан фейком, созданным злоумышленниками для спам-рассылок, и будет удалён через 24 часа после прочтения данного уведомления, в случае отказа от подтверждения аккаунта. Если аккаунт настоящий, его необходимо подтвердить. Отправьте смс с текстом orderit30193 (без пробелов), на номер 6008, в ответном смс вам придёт код активации. Стоимость смс соответствует стоимости по вашему тарифному плану.
Сложно представить, сколько людей в панике действительно отправили смс, но и после этого их ждала новая порция стресса: если пользователь отправлял смс, то он действительно получал некий код, так как на сайте имеются страницы с информацией о том, что код принят. Затем пользователям предлагалось скачать и запустить файл.
- По ссылке находится файл access.exe, который восстанавливает оригинальный файл hosts (127.0.0.1 localhost), - комментируют специалисты, - но затем появляется следующая фраза: «Вы ввели неправильный код. Вернитесь и введите код из смс-сообщения!»
Отмечается, что такой же файл был создан хакерами и для «Одноклассников». В настоящее время он пуст, но пользователи и этой социальной сети в ближайшее время серьёзно рискуют пострадать от злоумышленников.
Что делать
Эксперты убедительно просят в случае попадания на фишинговые страницы ни в коем случае не вводить свои логин и пароль и не отправлять никаких смс-сообщений. Если вы стали жертвой хакеров, необходимо срочно обратиться к вашему провайдеру и владельцу сервера социальной сети.
Специалисты в области безопасности сети рекомендуют всем пользователям «ВКонтакте» и «Одноклассников» проверить содержимое своих файлов hosts, которые находятся в каталоге /windir/system32/drivers/etc, и если в них обнаружены ссылки на vkontakte.ru и odnoklassniki.ru — удалить данные записи.
Кроме того, требуется срочная замена всех паролей от всех аккаунтов - не только в социальных сетях, но также и электронной почты, аськи и так далее. Не используйте стандартные пароли в виде своего имени или ряда цифр, не храните важную информацию на почтовых и иных серверах, удаляйте сообщения после отправления, при переписке по возможности используйте шифровальные кодирующие программы.