В сети появился вирус, распространяемый через ICQ, который крадет пароли учетных записей и успешно отвечает на вопросы подозревающих неладное жертв.
На днях пользователи русскоязычного сегмента ICQ подверглись атаке нового вируса Piggy.zip или H1N1. Вредоносная программа рассылает сама себя по контакт-листу «зараженного» аккаунта в виде сообщения с предложением пройти по ссылке и скачать файл Piggy.zip. Попав в компьютер пользователя, он меняет пароль от аккаунта и отсылает его на сервер icq.com в раздел «О себе» «зараженного» пользователя.
Главная особенность вируса в том, что он правдоподобно отвечает на вопросы пользователя, заподозрившего неладное. Например, если пользователь, получивший предложение скачать файл от зараженного контакта из своего контакт-листа, спросит «Что это?», вирус ответит, что это «прикольная «флешка» про свинью». Если пользователь, заподозривший неладное, спросит «А ты случаем не вирус?», вирус ответит, что вирусом не является. Вредоносная программа настроена отвечать на самые разные варианты вопросов, где содержатся слова «вирус», «троян», «бот» и прочие.
На новый лад
Piggy.zip – это новая модификация вируса Hoax.Win32.IMPass.al, впервые обнаружившего себя в сети в сентябре 2009 года. Согласно информации в блоге специалиста по безопасности «Лаборатории Касперского» Юрия Наместникова, ранее вирус предлагал скачать «прикольную головоломку на обман зрения». Флеш-игра действительно скачивалась и запускалась, но вместе с ней – пока пользователь решал головоломку – работала вредоносная программа, которая крала пароль, меняла его и рассылала всему контакт-листу сообщения с предложением скачать головоломку.
Обезопасить себя от угрозы потерять номер ICQ можно, задавая дополнительные вопросы – желательно, не содержащие ключевые слова, которые «знает» вирус. По словам Юрия Наместникова, словарный запас у робота, за исключением заготовленных вариантов ответа на стандартные вопросы, ограничен фразами «что», «чо», «чё», «че», «шо», «що» и «чито» и так далее. Кроме того, чаще всего бот отвечает на вопрос пользователя буквально в ту же секунду, когда он его задает, чего обычный человек – особенно, если речь идет о сложной фразе типа «прикольная «флешка» про свинью» -- сделать не может. Однако антивирусные специалисты говорят, что злоумышленники могут сделать модификацию вируса, отсылающую ответы на вопросы с «естественной» задержкой, поэтому более тщательный, чем обычно, опрос контакта, приславшего сообщение с предложением скачать какой-либо файл, может избавить пользователей от многих неудобств, связанных с потерей контактов.
Возврат пароля
Место хранения пароля выбрано не случайно: поле «О себе» на сайте icq.com открыто для всех пользователей, и злоумышленники могут беспрепятственно и анонимно забирать их оттуда. Кроме того, новый пароль хранится на сервисе в зашифрованном виде. Обычно это последовательности из ста нулей и единиц, каждые десять цифр из которой шифруют одну из цифр нового пароля.
Энтузиасты борьбы с вредоносным ПО выложили в сеть ключ, с помощью которого пароль можно вернуть.
0100110010 -- 1
0101100000 -- 2
0101100010 -- 3
0101100100 -- 4
0101100110 - 5
0101101000 -- 6
0101101010 -- 7
0101101100 -- 8
0101101110 -- 9
0100110000 -- 0
Расшифровав ключ, необходимо срочно войти в свою учетную запись и поменять пароль на новый (пока злоумышленники его снова не изменили), после чего провести проверку системы какой-либо антивирусной программой.