Trojan.HttpBlock блокирует доступ в Интернет

Компания Доктор Веб отмечает широкое распространение вредоносных программ семейства Trojan.HttpBlock, которые за восстановление доступа к популярным интернет-ресурсам требуют отправить платное SMS-сообщение на короткий номер 6681. Обращения по поводу лечения компьютера от этих троянцев составляют сегодня около 80% всех запросов в бесплатную техническую поддержку "Доктор Веб" для пользователей, пострадавших от интернет-мошенничества.

Начало распространения троянцев семейства Trojan.HttpBlock было зафиксировано 22 сентября 2010 года. Заражая компьютер, эти вредоносные программы модифицируют системный файл hosts и тем самым блокируют доступ к популярным сайтам. В отличие от троянцев семейства Trojan.Hosts, которые тоже блокируют доступ к популярным интернет-ресурсам, перенаправляя браузер на вредоносные сайты, Trojan.HttpBlock перенаправляет пользователя на веб-сервер, установленный на его же компьютере. При этом в браузере выводится простая текстовая страница с сообщением о том, что доступ в Интернет был заблокирован за посещение сайтов "взрослой" тематики и для его восстановления необходимо отправить платное SMS на короткий номер 6681.

Распространяется Trojan.HttpBlock в виде дистрибутива медиаплеера Fusion Media Player через сайты с бесплатным контентом, как правило, предлагающие пиратское программное обеспечение. На таких сайтах часто открываются дополнительные всплывающие окна, некоторые из которых похожи на сайты с роликами "для взрослых". При попытке воспроизвести такой ролик предлагается скачать и установить видеоплеер. Дистрибутив в формате .msi действительно содержит Fusion Media Player, но вместе с плеером устанавливается и троянец.

При попытке проанализировать систему с помощью различных утилит могут возникнуть трудности, поскольку троянец завершает работу некоторых опасных для себя процессов в соответствии со списком, составленным авторами программы. Вредоносная программа работает и блокирует антивирусы как в 32-, так и в 64-рязрядных системах версиях Windows. В последних модификациях Trojan.HttpBlock некоторые строки зашифрованы, что затрудняет анализ вредоносных файлов.

По сведениям компании "Доктор Веб", в большинстве случаев для лечения системы достаточно просканировать систему с помощью бесплатной лечащей утилиты Dr.Web CureIt! С начала распространения Trojan.HttpBlock в вирусную базу Dr.Web было добавлено более 30 модификаций этой вредоносной программы. Также была создана запись Trojan.HttpBlock.origin, использующая технологию Origins Tracing. Эта запись позволяет определять наличие в системе неизвестных модификаций троянца.