Купив третью припейд-карточку на 5 гигов в испанском Vodafone, я задумался: а почему это пять гигабайт траффика заканчиваются за пару часов?

Искал недолго — в списке процессов нашел крайне активный процесс UPDS. EXE — троян. Распространяется через html-страницу со встроенным javascript-ом посредством взломанных хостингов, на которые попадает через ряд известных дыр в бесплатных CMS.

После запуска программа определяет параметры компьютера, параметры интернет-соединения, версию и язык браузера и реальный IP пользователя. Последнее важно, потому что программа не заражает компьютеры в сетях России, США или Израиля. Чем обусловлен такой набор я не знаю, но наверно у автора там друзья или родственники, а может он намерен переехать жить в одну из этих стран — зачем себе заранее создавать проблемы с законом?

Программа работает одновременно как клиент бот-сети и кейлоггер. Попадая в систему через зараженный хостинг, программа копирует себя в несколько папок в файловой системе, прописывает автозапуск себя в реестре и начинает а) рассылать себя на другие хостинги, б) отправлять лог активности оператора на сервер 128.16.54.232 и еще пару десятков резервных серверов и в) забирать набор инструкций с бот-мастера.

Пока что инструкции бот-сетей включали в себя только рассылку спама — так что несколько гигабайт траффика я невольно потратил на то, чтобы забомбить кучу людей спамом. Интересно, на мой емейл с моего же компьютера спам отправлялся?

Любопытно, что автор (или не автор?) делает с данными кейлоггера. Я немного почитал форумы, вот например пишет поляк Гжесик Романски под ником kierasi: “Сначала компьютер начал странно себя вести. По пятнадцать минут страницы открывались, начал отрубаться гаду-гаду, скайп и т.д. Потом мне начали приходить электронные письма с ругательствами по-английски: мол, верни мне мои деньги, где мой товар и проч. Потом пришел запрос валидации транзакции из банка. Я думаю, что хакеры воруют мои реквизиты и перевыпустил все пластиковые карты. Вот логи хайджека, помогите найти вирус”. Дальше идет список файлов.

А вот рассказ немца Грюза Казана (под ником Kazan): “Привет. У меня тут проблема с троянами. Файрволы и антивирусы пишут, что есть подозрения о трояне в системе, хотя найти его не могут. А недавно я обнаружил, что кто-то переводит деньги с моей кредитки на мой скайп-аккаунт, причем потом тратят эти деньги с моего аккаунта. Помогите найти вирус!”. Потом идет обсуждение, в ходе которого выясняется наличие у него такого же троянца.

И вот снова немец — под ником HohesB, но его имя я найти не смог. Пишет, помимо стандартных жалоб на долгое открытие страниц в интернете и нестабильную работу: “И эти засранцы от моего имени покупают на ebay кучу разного барахла. Причем реально барахла — футболки какие-то, штаны. Вот засранцы!”.

Еще было много объемных историй от итальянцев, испанцев, чехов — но их языков я не знаю и перевести не могу. Но истории наверняка схожи, если верить мелькающим в текстах словам Skype и eBay.

Насколько я понял, я — первый русский, пострадавший от вируса.

Евгений Лыков