Угроза из Интернета.
Аналитики предупредили о распространяющейся через Сеть вредоносной программе, которая маскируется под обновление для Firefox и по сути является очередным «поддельным антивирусом». Аналитики антивирусной компании F-Secure сообщили о новом способе распространения вредоносного ПО. Чтобы заставить пользователя установить программу на компьютер, злоумышленники замаскировали ее под обновление для браузера Firefox.Текст статьи на английском :
It seems that rogue peddlers have gotten tired of their old tricks in pushing rogueware into the user’s system. It used to be a fake scanning page, that leads to a warning, then a fake AV.
Now, it comes as the Firefox «Just Updated» page. You know that page that instantaneously appears right after you update your Firefox browser? And you open Firefox for the first time? Just like that. But with a catch of course. There is a message telling the user than even if their Firefox got updated, their Adobe Flash Player isn’t. So they still have to update. Pretty helpful…
And the user doesn’t need to click anything, the download dialog box immediately appears as soon as the page loads…
When the user runs the file… Bad old rogue AV…
Somehow the rogue guys couldn’t decide if it’s going to be Firefox or Flash Player… so it became a little bit of both.
Note: The malicious site is already blocked and the rogue is detected in our latest database updates.
Response post by — Mina & Christine
Программа распространяется по следующей схеме. В браузере Firefox открывается сайт, копирующий дизайн страницы с сообщением об очередном обновлении. Пользователю предлагается установить также и обновление для Adobe Flash Player, нажав на соответствующую ссылку.
Вне зависимости от того, нажмет пользователь на ссылку или нет, начинается загрузка файла ff-update.exe. После запуска файла на компьютере запускается лже-утилита Security Tool, которая выдает сообщение о заражении mspaint.exe вирусом Virus.DOS.Glew.4245.
Далее пользователю предлагается заплатить за избавление от мнимого вируса.
F-Secure утверждает, что вредоносный сайт уже заблокирован, но нет гарантий, что в дальнейшем злоумышленники не воспользуются уже опробованной схемой.