Trojan.Mayachok.1 на российских файлообменниках

Как сообщает компания «Доктор Веб» в последнее время получили широкое распространение на российских файлообменниках архивы якобы с популярными программами, которые инфицированы вирусом Trojan.Mayachok.1. Подобные инфицированные архивы распространяются с помощью партнерской программы ZIPPRO.

Как следует из сообщения компании «Доктор Веб», партнерская программа ZIPPRO является мошеннической схемой, жертва которой, теряла деньги, отправив платное СМС-сообщение чтобы открыть архив. Теперь эта мошенническая схема стала еще опасней – она распространяет вирус Trojan.Mayachok.1 (он же trojan.win32.ddox.ci, trojan.win32.cidox, trojan.win32.zapchast.feh, trojan:Win32/Vundo.OD, trojan.Win32.Mondere, trojan.Generic.KDV.169924), представляющий собой троянскую программу, которая крадет средства со счетов клиентов мобильных операторов, предлагая пользователям ответить на входящее СМС-сообщение. Поэтому, хотелось бы предупредить наших читателей о том, что сталкиваясь с архивами ZIPPRO, помните что вы нанесете урон как своему кошельку, так и компьютеру.

Партнерские программы в Интернете пользуются популярностью не только у рядовых пользователей, но и у вирусописателей и сетевых мошенников, о чем не раз нас предупреждала компания «Доктор Веб». Специалисты «Доктор Веб» уже предупреждали о партнерской программе ZIPPRO, предлагающей сервис для генерации платных архивов с «обложками», максимально правдоподобно имитировавшими интерфейс оригинальных инсталляторов различных популярных программ. Генератор представляет собой программное приложение, в котором можно настроить итоговый визуальный стиль, предусмотреть различные варианты оплаты. Таким образом, злоумышленники могут вложить в архив любой мусор и получить за это деньги. Такие архивы Dr.Web детектирует как Trojan.SMSSend.
Пользователь, скачавший такой архив и для открытия его пославший платное СМС-сообщение на короткий номер, не получал ровным счетом ничего. Зато партнер ZIPPRO получал свой процент от прибыли сервиса.

Впоследствии схема претерпела некоторые изменения — наряду с описанным выше архивы (теперь уже с различными вариантами бесплатного ПО) от ZIPPRO тихо и незаметно начали устанавливать тулбар «Спутник@mail.ru». Интересно, что создатели ZIPPRO обещают распространять по такой схеме и браузер «Интернет@mail.ru».

Как часто это случается в России, в погоне за высокими прибылями владельцы сервиса и партнерской сети пошли еще дальше. За спиной у своих «партнеров» они решили получить доход с установки и более серьезных вредоносных программ. На данный момент всем пользователям, которые имели неосторожность скачать любой архив Trojan.SMSSend, кроме уже гарантированного тулбара от Mail.Ru, установят еще и Trojan.Mayachok.1. А «партнеры» собственными руками создают офлайн-ботнет для ZIPPRO.

По данным статистики лечащей утилиты Dr.Web CureIt!, лидирующие позиции в списке наиболее актуальных угроз за это лето занимает именно троянец Trojan.Mayachok.1, подменяющий пользователям наиболее популярные сайты при подключении к Интернету.

Источник: Компания «Доктор Веб» (http://www.drweb.com/)