Win32/Nymaim - троян-вымогатель для пользователей Google-поиск


Win32/Nymaim - троянская программа, блокирующая компьютер пользователя и вымогающая денежные средства за его разблокировку.

Ранее заражение этим вредоносным ПО осуществлялось при помощи комплекта взломщиков-эксплойтов BlackHole, используя имеющиеся на компьютере уязвимости приложений или операционной системы для доставки вредоносного кода.

Новая версия Nymaim распространяется совсем иным способом. Так с конца сентября было зафиксировано большое количество обнаружений этой вредоносной программы среди загруженных при помощи браузера файлов. Интересно, что реферальные ссылки, ведущие на загрузку вредоносных файлов, принадлежали Google. Т.е., перед заражением пользователь ввел в поисковик Google некий запрос и перешел по одной из ссылок в поисковой выдаче.

Выяснилось, что для масштабного заражения злоумышленники использовали так называемую "темную поисковую оптимизацию" (Black Hat SEO), с помощью которой продвигали специально созданные вредоносные страницы в топ выдачи по популярным ключевым словам.

Перейдя по таким ссылкам, пользователь перенаправлялся на вредоносную страницу где инициировалась загрузка архива, название которого – для повышения доверия пользователей – соответствует введенному в строку поиска тексту. Т.е. один и тот же архив будет загружен с разными именами, в зависимости от поискового запроса. Примеры обнаруженных названий одного файла:

  • video-studio-x4.exe
  • speakout-pre-intermediate-wb-pdf.exe
  • new-headway-beginner-3rd-edition.exe
  • donkey-kong-country-3-rom-portugues.exe
  • barbie-12-dancing-princesses-soundtrack.exe


Из названия видно, что данном случае пользователи искали программу-редактор видео, учебник английского языка, образ игры Donkey Kong, саундтрек к мультфильму "Барби и 12 танцующих принцесс" и т.д.

В любом случае загруженный под вредоносный архив содержит исполняемый файл, который после запуска устанавливает в систему код Nymaim.

Win32/Nymaim заражает систему в два этапа. Попав на компьютер, первый вредоносный файл осуществляет скрытую загрузку и запуск второго файла, который также может загружать дополнительное вредоносное ПО, а может и просто блокировать операционную систему для получения выкупа.

Ekran blokirovki dlya polzov USA
Пример экрана блокировки, демонстрируемый пользователям США

Интересно, что во время блокировки вредонос может использовать более десятка вариантов экрана блокировки, созданных на разных языках и с различным оформлением. Уже обнаружены экраны блокировки из

  • Австрии;
  • Великобритании;
  • Германии;
  • Ирландии;
  • Испании;
  • Канады;
  • Мексики;
  • Нидерландов;
  • Норвегии;
  • Румынии;
  • Франции;
  • США.


Также оказался интересным тот факт, что стоимость выкупа отличается для разных стран. Так из найденных экранов блокировки цена выкупа составляет:

  • в среднем - около $150;
  • в США – $300;
  • в Румынии - около $135.

Stoimost razblokirovki dlya raznih stran USD
Стоимость разблокировки для разных стран, USD

Получается, что вся активность трояна Win32/Nymaim осуществляется в рамках кампании по распространению злонамеренного ПО, в процессе которой вредоносные Apache-модули заражают легальные веб-сервера, что приводит к перенаправлению пользователей на вредоносные сайты.

Эта кампания (The Home Campaign) продолжается с февраля 2011 года и за это время злоумышленниками было заражено почти 3 млн. компьютеров.