В понедельник в ICQ обнаружился новый вирус, масштабы распространения которого приобрели характер эпидемии. Эксперты по безопасности обещают, что через пару дней проблема сойдет на нет. Если компьютер уже заражен, избавиться от вируса можно вручную.
В понедельник, 16 августа, пользователи сервиса мгновенных сообщений ICQ подверглись вирусной атаке со стороны неизвестных злоумышленников, распространяющих вредоносную программу Snatch. Вирус представляет собой исполняемый файл Snatch.exe, который рассылается с зараженных аккаунтов. Вредоносное приложение появилось в «аське» около полудня, его жертвами стали пользователи «аськи» под Windows.
Вирус просит установить себя
В случае запуска этого файла работа клиентской программы (ICQ, QIP) прерывается, а при перезапуске червь Snatch.exe получает контроль над учетной записью и рассылает себя другим пользователям из списка контактов.
Насчет того, умеет ли червь менять пароль к учетной записи, информация пока противоречивая. По данным «Лаборатории Касперского», червь умеет угонять «аську», а вот в компании «Доктор Веб» уверены в обратном: «Насколько нам известно, данный вирус не изменяет пароль на ICQ, а лишь использует полученный пароль для своего дальнейшего распространения», – рассказал аналитик по вирусной обстановке DrWeb Валерий Ледовский. О каких-либо других вредоносных эффектах Snatch.exe не сообщается.
Известно также, что программа умеет маскироваться под живого человека и поддерживать примитивный разговор, чтобы убедить жертву в том, что файл необходимо открыть. В лексиконе червя есть фразы «глянь ))», «нет, глянь )))», «ну мини игра типа )», «привет!» и ряд других незамысловатых выражений.
«Мы забудем об этой эпидемии уже через несколько дней»
Понедельничная атака странного вируса является нетипичной, так как вирусописатели обычно стараются скрыть свои творения, чтобы как можно дольше оставаться незамеченными. «Сейчас такие «заметные» вредоносные программы появляются не так часто, как несколько лет назад, большинство современных вирусописателей стремится скрывать действия вредоносной программы как можно дольше», – поделился своим мнением Денис Масленников, руководитель группы исследования мобильных угроз «Лаборатории Касперского».
«С точки зрения реализации этой угрозы все сделано достаточно примитивно и рассчитано именно на внезапность атаки», – сообщил GZT.RU руководитель Центра вирусных исследований и аналитики российского представительства ESET Александр Матросов. По его словам, ряд пользователей попались на крючок злоумышленников, что породило быстрое распространение угрозы. Но на данный момент этот червь уже получил большой резонанс в СМИ и добавлен в антивирусные базы некоторых вендоров, так что темпы его распространения уже снижаются, рассказал эксперт.
«Как правило, подобные эпидемии носят локальный характер. Мы забудем о вирусной атаке уже через несколько дней», – согласен Валерий Ледовский из «Доктор Веб».
Вирус оперативно занесли в базы данных
По данным сервиса Virus Total, из более чем 40 антивирусов Snatch.exe распознают только девять: Authentium, BitDefender, Emsisoft, F-Prot, F-Secure, GData, Ikarus, Panda и Sunbelt. Однако опрошенные GZT.RU эксперты утверждают, что эти сведения не совсем корректны, а упомянутый вирус уже занесен в базы данных антивирусов «Доктор Веб», «Лаборатории Касперского» и Nod32 от ESET.
«Аська» – оазис для хакеров
Злоумышленники неслучайно облюбовали данный канал передачи данных для распространения вредоносных программ, ведь архитектура ICQ удобна для организации спам-рассылок, говорит Валерий Ледовский из «Доктор Веб.» «Владельцы серверов ICQ не гарантируют сохранения тайны переписки своих пользователей. Поэтому пользователям "аськи" следует лишний раз задуматься о ее замене. Альтернативных протоколов, лишённых подобных недостатков, сейчас хватает», – рассказал эксперт.
А по мнению Дениса Масленникова из «Лаборатории Касперского», виной всему человеческий фактор, так как многие пользователи склонны доверять файлам, полученным от пользователей из их контакт-листа. «Для того чтобы предотвратить заражение новой вредоносной программой, а также другими подобными червями, не следует доверять любым исполняемым файлам, которые были получены в сообщениях, даже если файл передается от пользователя из контакт-листа», – предупреждает аналитик.
Стоит также отметить, что авторы вируса могут переименовать его, однако размер исполняемого файла при этом должен остаться неизменным.
Как удалить вирус вручную
В случае, если «аська» уже заражена червем Snatch.exe, и антивирус не может его распознать, порядок действий должен быть такой:
- Запустить диспетчер задач (Ctrl+Alt+Del) и принудительно завершить процесс Snatch.exe.
- Открыть папку, в которую сохранился вирус, и удалить его вручную. Далее удалить Snatch.exe из корзины.
- Вычистить реестр Windows от всех ссылок на Snatch. Запуск реестра: открыть меню «Пуск» и набрать в командной строке «regedit», потом с помощью кнопки F3 произвести поиск по слову Snatch и удалить все ссылки на вирус.
- Также не помешает переустановить ICQ и сменить пароль.
