Опубліковано: 17.08.10

16 серпня стало чорним днем ​​для багатьох російських користувачів ICQ. Тисячі рунетчиков відкрили файл snatch.exe, який їм нібито прислали друзі. Файл, звичайно, виявлявся хробаком, тут же перехоплював контроль над обліковим записом ICQ. Перші повідомлення про шкідливу програму Snatch з'явилися приблизно в полудень 16 серпня. Всього за день в блогах накопичилося понад півтори тисячі однотипних закликів: «Не приймайте і не запускайте цей файл!". Незважаючи на це, аськи косило цілими офісами. Варто було одному співробітнику заразитися, як інші отримували від нього "подарунок".

Цікаво, що Snatch.exe не містить якихось технологічних інновацій. За твердженням експертів, він досить неохайно написаний в середовищі розробки Delphi. Епідемія ж почалася тому, що автори хробака дуже добре вивчили поведінку типового користувача і застосували кілька безвідмовно працюють прийомів.

По-перше, черв'як вміє вмовляти користувача. Він може для початку сказати "привіт" або "глянь". На слово "спам" образиться - мовляв, хіба спамери файли шлють? На питання, що це він надіслав, слід негайна відповідь: "ну міні гра типу)".

На цьому зламалися багато користувачів:

- Глянь!

- Це вірус?

- Ні, глянь)))

- Що це?

- Міні гра типу).

Запуск, ICQ відключається, зараження.

По-друге, Snatch.exe приходить не з незнайомого сайту, а від вже заражених знайомих, тобто людей, яким користувач апріорі довіряє. В ході епідемії саме ця довіра виявилося особливо незрозумілим для системних адміністраторів і співробітників IT-підрозділів постраждалих компаній. Люди, яким параноя покладена за посадою, не могли уявити собі, як можна повестися на такий простий трюк і ким треба бути, щоб відкривати надіслані .exe-файли.

По-третє, Snatch.exe займає 916,5 кілобайт, що нетипово багато для вірусу, яким його уявляє собі більшість жертв. І тим більше черв'як походить на "міні-гру". Особливо просунуті користувачі могли перевірити файл архіватором і виявити, що всередині захований десятімегабайтний файл. Чим не гра?

По-четверте, попалися навіть деякі користувачі, що дотримують всі правила комп'ютерної безпеки. Прийнявши файл, вони запускали його не відразу, а лише перевіривши антивірусом. На жаль, на початку епідемії далеко не всі антивіруси били на сполох, побачивши Snatch.exe. Так, на 13 годину 16 серпня шкідливу програму розпізнавали тільки 9 з 42 антивірусів, відомих сервісу Virustotal. Все це були порівняно маловідомі програми. Лише через кілька годин підтягнулися поширені в Росії "Касперський" і Dr.Web.

Ось як описує роботу Snatch.exe аналітик Dr.Web по вірусної обстановці Валерій Ледовських:

Це інтернет-черв'як, який визначається за класифікацією компанії "Доктор Веб" як Win32.HLLW.Natchs. Даний вірус поширюється через сервіси миттєвих повідомлень, що підтримують протокол ICQ. Після завантаження та запуску шкідливого файлу такі інтернет-пейджери, як QIP і ICQ, завершують свою роботу. Якщо використовується QIP, то черв'як визначає пароль доступу до ICQ-аккаунту і самостійно з'єднується з ним. Після чого розсилає свої копії по списку контактів користувача-жертви, продовжуючи таким чином своє поширення.

Денис Масленников, керівник групи дослідження мобільних загроз "Лабораторії Касперського", де Snatch.exe звуть IM-Worm.Win32.QiMiral.ax, пояснює, як позбутися від хробака:

Якщо зараження відбулося, необхідно в диспетчері завдань Windows видалити процес з ім'ям Snatch.exe, після чого видалити саме тіло хробака і по можливості змінити пароль від ICQ UIN'а.

Тут варто зазначити, що, за даними Dr.Web, Snatch.exe не відсилати пароль до аккаунту зловмисникам, а використовувала його тільки для подальшого поширення.

Можливо, автори Snatch.exe відрізняються надмірною благородством, що не відводячи аськи, як це роблять всі нормальні шахраї, які заробляють на своєму ремеслі. Але набагато ймовірніше інше - Snatch.exe був пробною кулею.

Типу міні-грою перед грою по-крупному.

Автор: Олександр Амзін

джерело: Лента.Ру

Дивіться також: