Більше 21 тис. сайтів, що розміщені в зоні .RU росповсюджували троян, який маскувався під відомі ресурси та вимагав надсилати SMS.

Невідомі зловмисники розмістили на кількох десятках тисяч сайтів в зоні .RU посилання на шкідливу програму Trojan.Mayachok.1.


Вірус розповсюджується під виглядом драйвера для монітора.

Сторінки з запрошенням скачати "драйвер" можна знайти на інтернет-ресурсах найрізноманітнішої тематики - наприклад, на порталі про легку атлетику Runners.ru, на сайтах Міжнародного інституту енергетичної політики і дипломатії при МГИМО або департаменту з архітектури та будівництва Краснодарського краю.

Експерти припускають, що сторінку з посиланням на Trojan.Mayachok.1 зловмисники розмістили на цих сайтах, вкравши адміністраторські паролі. А число сайтів з посиланнями на вірус станом на 31 серпня перевищує 21 тисячу.

Троян діє за класичною схемою:

При натисканні на посилання користувач направляється на підроблений файлообмінник.

Разом з тим деякі файлообмінники копіюють зовнішній вигляд справжніх сервісів для обміну файлами, наприклад, DepositFiles.

Якщо користувач завантажує файл і запускає його, на комп'ютер встановлюється троянська програма.

Trojan.Mayachok.1 блокує доступ до низки популярних сайтів, у тому числі до відеохостингу YouTube і соцмереж "ВКонтакте" та "Однокласники".

При цьому У браузері виводиться повідомлення про те, що обліковий запис користувача заблокований і для "розблокування" потрібно відправити SMS.

Троян відомий вже щонайменше кілька місяців. У базу "Доктор Веб" він був доданий на початку червня під назвою Trojan.Mayachok.1. У базі "Лабораторії Касперського" він носить назву Trojan.Win32.Mondere.go.