Win32/Bicololo представляет собой троянскую программу, целью которой является кража персональной информации пользователей. Экспертами Eset обнаружена повышенная активность распространения данной угрозы — она рассылается под видом ссылок на графические файлы со стандартным расширением .jpg. При активации подобной ссылки вместо открытия изображения начинается загрузка вредоносного файла, рассказали CNews в компании.
Попадая на компьютер пользователя, вредоносная программа модифицирует системный файл hosts и прописывает в нем IP-адреса принадлежащих злоумышленникам фишинговых сайтов. При попытке перейти на легальный сайт, пользователь автоматически перенаправляется на его фальшивый аналог.
Рассматриваемая модификация Win32/Bicololo.A нацелена на персональные данные пользователей «Вконтакте» и «Одноклассников», а также на владельцев почты на сервисе Mail.ru. Адреса именно этих порталов, включая адреса мобильных версий сайтов, программа прописывает в файле hosts.
IP-адреса в измененном файле hosts
Вся информация, введенная пользователями на поддельных ресурсах, автоматически попадает к злоумышленникам. В Eset отметили высокое качество фальшивых страниц — так, фишинговый сайт, маскирующийся под главную страницу «Вконтакте», отличается от оригинала лишь невозможностью сменить язык или воспользоваться защищенным https-соединением.
В 2013 г. семейство троянов Win32/Bicololo неизменно попадает в рейтинг наиболее распространенных в России угроз, ежемесячно составляемый аналитиками Eset. В компании рекомендуют соблюдать осторожность и не открывать ссылки в незапрошенных сообщениях.
Все антивирусные решения Eset успешно обнаруживают и удаляют все модификации трояна Win32/Bicololo, а также позволяют изначально избежать заражения и потери персональных данных.