Новый ICQ-вирус Snatch захватил в понедельник рунет

В понедельник, начиная с полудня, тысячи пользователей ICQ подверглись атаке нового вируса. Пришедший по «аське» вирус просит загрузить файл Snatch.exe. После запуска файла вредоносная программа берет под свой контроль ICQ-аккаунт, меняя пароль доступа к службе сообщений. Сменить свой пароль самостоятельно пользователь уже не может.

Также при помощи встроенного бота программа может вести диалог, что вводит в заблуждение собеседника и заставляет его запустить «червя». В лексиконе робота наиболее типичны фразы: «глянь ))», «привет!», «включи в настройках передачу файлов )», «эээ… сам ты бот =\» и «ну мини-игра типа )». Злоумышленники сделали ставку на человеческий фактор, считает вице-президент Mail.Ru Анна Артамонова: «По сути, сам пользователь активирует вредоносную программу, скачав ее или кликнув по ссылке».

Вирус довольно хорошо имитирует поведение человека. «Ко всему прочему, вирус работал от имени уже захваченного аккаунта, то есть пользователи получали вредоносные файлы от своих знакомых из списка контактов,

что повышало доверие к присланному файлу и усыпляло бдительность. Неудивительно, что неискушенные пользователи попались на эту уловку», — добавляет Артамонова.

Впрочем, определить, что тебе присылают именно вирус, сейчас легко. Ведь файл носит одно и то же название – Snatch.exe. Специалисты призывают не принимать и не запускать этот файл. Так как в будущем название файла может измениться, стоит обратить внимание на его размер. В случае Snatch.exe он составляет 916,5 килобайта.

Цель создания данного вируса пока неясна: о краже адресов и персональных данных пока не сообщается. Как правило, основными мотивами злоумышленников являются получение доступа к чужому компьютеру, кража информации, сбой в работоспособности компьютера, напоминает Артамонова. Впрочем, цель подобных действий может быть разной: к примеру, демонстрация своих «хакерских скилов». Пользователи профессиональных форумов предполагают, что вирус, захватывая пароли клиентов, создает спам-сеть. Через такие сети потом рассылается реклама.

«Все чаще компьютерные преступники создают специальные бот-сети из компьютеров-«зомби», которыми можно управлять дистанционно и без ведома их владельцев. Такие компьютеры частенько используются для рассылки спама или кражи персональных данных», — подтверждает компания Symantec. По ее данным, в прошлом году в бот-сети были втянуты почти семь миллионов персональных компьютеров.

В данном случае, так как вирус распространяется в виде исполняемого файла .exe, в опасности находятся только пользователи Windows. «Клиенты уже начали валом звонить», — жалуются на форумах администраторы сетей. «Ждем новой волны слез, ну и, конечно, новой волны спама», — добавляют админы.

Портал Virus Total сообщает, что

на момент начала эпидемии snatch.exe опознали как вредоносную программу лишь 9 антивирусов из 42: Authentium, BitDefender, Emsisoft, F-Prot, F-Secure, GData, Ikarus, Panda и Sunbelt. Тот факт, что ни один российский антивирус не «видит» новую угрозу, даёт основание предполагать её российское происхождение.

Впрочем, подобные эпидемии нередки во всём мире. Ещё в 2006 году вихрь заражений компьютеров во всем мире был связан с массовой рассылкой через ICQ вируса Warezov. Тогда он был нацелен на англоязычную аудиторию, общался на английском языке и рассылал через контакт-лист приглашение на странный сайт seruijingandeshijinpos.com. Как выяснила тогда китайская антивирусная группа C.I.S.R.T, вирус крал персональных данные пользователей, блокировал работу антивирусов, а также загружал через интернет и запускал другие вредоносные программы. В апреле этого года пользователи почтового сервиса Google Gmail стали жертвами злоумышленников, использующих аккаунты для рассылки спам-сообщений.

Предотвратить заражение данной вредоносной программой, а также другими подобными червями можно: не следует доверять любым исполняемым файлам, которые были получены в сообщениях (даже если файл передается от пользователя из контакт-листа), говорят специалисты «Лаборатории Касперского».

Если заражение Snatch.exe все же произошло, то «необходимо в диспетчере задач Windows удалить процесс с именем Snatch.exe, после чего удалить само тело червя и по возможности сменить пароль от ICQ»,

советует руководитель группы исследования мобильных угроз «Лаборатории Касперского» Денис Масленников. На многочисленных интернет-форумах рекомендуют при заражении максимально оперативно поменять пароль. Впрочем, прошла информация, что вирусная программа намеренно не давала пользователям быстро это сделать.

Чтобы впредь не заразиться новыми вирусами, Артамонова настоятельно рекомендует использовать лицензионные версии антивирусов, а также устанавливать последние обновления интернет-браузера и почтовых программ, мессенджеров. Кроме того, надо внимательно относиться к предупреждениям, которые выводятся как непосредственно антивирусами, так и программами обмена мгновенными сообщениями. Например, в агенте Mail.Ru используется несколько различных методов защиты, в том числе автоматическое удаление ссылок, телефонных номеров из сообщений от неавторизованных контактов.

Уже во вторник с утра новый вирус был учтен в новых антивирусных базах, и теперь компьютеры пользователей, ежедневно делающих обновление своих баз, защищены.