Международная антивирусная компания ESET сообщила
новые подробности о широко распространенной троянской программе Win32/Bicololo,
целью которой является кража персональных данных интернет-пользователей.

Троян распространялся через веб-сайты в Аргентине, Бразилии,
Колумбии и Чили, поэтому сначала предполагалось, что угроза имеет
латиноамериканское происхождение. Но впоследствии у Win32/Bicololo обнаружились
российские корни.

В файле hosts, модифицированном программой Win32/Bicololo,
были обнаружены ссылки на сайты российских соцсетей, в том числе,
ВКонтакте и Одноклассники, а также на портал Mail.ru. Как отмечают эксперты ESET, угроза нацелена на
пользователей именно этих ресурсов.

Забавная подробность: в одном из файлов, создаваемых
вредоносной программой, была обнаружена фраза «стою у трапа самолета» — это строка
из песни советских времен в исполнении Александра Барыкина. Этот факт развеял
последние сомнения в российском происхождении угрозы.

Эксперты ESET отмечают, что троян распространялся через вполне легальные
ресурсы на доменах латиноамериканских стран .ar, .br, .cl и .co. По их мнению,
сайты, зараженные вредоносным ПО, были обнаружены злоумышленниками путем
автоматического сканирования на предмет уязвимостей.

Троян распространяется под видом ссылок на графические файлы
с расширением .jpg. При активации подобной ссылки вместо изображения
загружается вредоносное ПО. После этого программа модифицирует системный
файл hosts. 

Теперь при попытке пользователя зайти на какой-либо сайт
его перенаправляют на фальшивую страницу, принадлежащую злоумышленникам. Вся
информация, введенная пользователем на такой странице, автоматически попадает к
преступникам.