Сущность вируса - переадресация со страницы запрашиваемого ресурса на фиктивную, скопированную с настоящей. Подмена осуществлялась для самых популярных ресурсов Рунета: Яндекс, Рамблер, Майл, ВКонтакте, Одноклассники.
Набирая на «зараженном» компьютере адрес одного из указанных ресурсов, пользователь попадает на сервер-подмену, где ему предлагается страница для входа в систему (имя и пароль). С учетом того, что в адресной строке указано корректное имя, а внешний вид скопирован с оригинального сервера, у большинства пользователей не возникает подозрений в подлинности страницы.
После ввода имени и пароля отображается иная страница, где уже говорится о необходимости «подтверждения» или «активации» учетной записи за смс на короткий номер, стоимость которого минимальная или якобы бесплатная.
Таким образом, злоумышленники не только снимают денежные средства со счетов абонентов, но и получают логин и пароль доступа пользователя к указанным популярным ресурсам, что позволяет им в дальнейшем отправлять от имени «жертвы» различные сообщения, например:
- программка для бесплатной отправки подарков! мне не забудь отправить!
- привет. Лови программку по бесплатному повышению рейтинга, но не давай никому больше. Это не спам.
Основные темы, которые используются для «рекламы» скачивания и запуска зараженных программ:
- бесплатное повышение рейтинга «ВКонтакте»;
- программа перехвата SMS сообщений с телефона;
- дополнительные функции в социальных сетях, которые не существуют (подарки, VIP-доступ и т.д.)
После перехода по ссылке компьютер пользователя автоматически запускает вредоносную программу.
Наши рекомендации:
Пострадавшим рекомендуется изменить пароль доступа к указанным ресурсам, а также установить версии антивирусных программ с обновленными антивирусными базами.
Следует помнить, что ресурсы популярных сайтов никогда не потребуют от уже зарегистрировавшегося пользователя дополнительной авторизации, тем более за деньги путем отправки смс.