Через Twitter распространялся вирус

С одного из аккаунтов микроблогинга Twitter по его подписчикам распространяется сообщение, содержащее вредоносную ссылку. Об этом сообщает пресс-служба компании «Доктор Веб».

При переходе по ссылке пользователю предлагается скачать специальный кодек для просмотра порноролика, который оказывается вредоносной программой. При этом ресурс, созданный злоумышленниками, самостоятельно определяет вид операционной системы, предлагая разные угрозы для ОС Windows и Mac OSX.

В среду, 24 июня, в микроблоге одного из пользователей Twitter.com, который является бывшим сотрудником компании Apple, появилось сообщение, содержащее следующую запись «Leighton Meester sex tape video free download!», а также ссылку, как оказалось, на сайт с вредоносными объектами.

Так как блог данного пользователя обладает значительным количеством подписчиков (около 140 тыс.), она тут же попала в их ленты. При нажатии на сообщение пользователь через сервис сокращенных ссылок попадал на страницу видеохостинга http://www.nowpublic.com, содержащую ролик. При попытке его посмотреть пользователь переадресовывался на страницу http://worldt**e.su http://worldt**e.su. Далее при нажатии на видео ему предлагается скачать специальный кодек ActiveXsetup.exe, который на самом деле оказывался вирусом.
 
Вредоносный скрипт на http://worldt**e.su при этом самостоятельно определяет вид операционной системы по user-agent браузера. В случае если используются браузеры, работающие под Windows, за кодеком скрывается Backdoor.Tdss.119. Если же используются браузеры, работающие с Mac OS X, – Mac.Dnschanger.2. После запуска ActiveXsetup.dmg стартует файл install.pkg, активирующий Perl-скрипт, который загружает основной вирус.

Его функционал в зараженной системе заключается в подмене адресов DNS-серверов при запросах, которые производит пользователь в адресной строке своего браузера.
Такое поведение вируса может использоваться как для продвижения различных сайтов в поисковых системах, так и для переадресации пользователей на вредоносные интернет-ресурсы.
 
В скором времени после появления данного сообщения ссылка. Тем не менее, она была активна более 10 часов. Таким образом, она не только попала в ленты подписчиков блогера, но и цитировалась ими.

Автор — Вася Сетевой