Троян RpcTonzil атакует пользователей "ВКонтакте"


RpcTonzil - троянская программа, направленная на пользователей соцсети "ВКонтакте". От действия данного вредоноса уже пострадало более 50 тыс. пользователей интернет ресурса.

Злоумышленники, которые разработали и запустили троян, сумели получить доступ к учетным записям жертв, а также получили возможность похищать конфиденциальные персональные данные.

После изучения RpcTonzil выяснилось, что вирус модифицирует запросы компьютеров к DNS-серверу. Если по простому, то при попытке зайти в социальную сеть пользователь оказывается на специально созданной злоумышленниками фальшивой web-странице, имитирующей страницу "ВКонтакте" (фишинг). На этой лжестранице пользователю сообщается, что аккаунт был взломан, поэтому необходимо создать новый пароль и сделать привязку своего номера мобильного телефона к учетной записи.

Созданная злоумышленниками Web-страница полностью идентична настоящей странице авторизации в соцсети. Более того, адрес, отображаемый в адресной строке браузера, полностью соответствует правильному, что создает дополнительную иллюзию о подлинности страницы "ВКонтакте".

Первые образцы вредоносного кода RpcTonzil были обнаружены еще в марте этого года. Однако на сегодняшний день большинство антивирусных программ не способны определить новую версию угрозы. Это связано с тем, что злоумышленники модифицировали код вируса, а также использовали сложную технику его сокрытия от антивирусных продуктов.

Заражения компьютера новой версией троянской программы происходит только в зашифрованном виде. Ее расшифровка и автозапуск осуществляется с помощью небольшой модификации системной библиотеки rpcss.dll.

Данный вредонос интересен тем, что даже по истечении трех месяцев с момента ее обнаружения, она продолжает распространяться. При этом большинство антивирусных продуктов либо вообще ее не обнаруживают, либо не способны корректно вылечить компьютер после заражения.