Новый вирус заражает Windows и Mac OS X через Twitter

Компания "Доктор Веб" сообщила о появлении новой угрозы, распространяемой через известный сервис микроблогинга Twitter.com. 24 июня с одного из аккаунтов по его подписчикам начало распространятся сообщение, содержащее вредоносную ссылку.

Текст сообщения следующий: "Leighton Meester sex tape video free download!". Микроблог, в котором появилось данное сообщение, принадлежит Гаю Кавасаки (Guy Kawasaki), ранее работавшему в компании Apple. Поскольку блог данного пользователя на Twitter.com обладает значительным количеством подписчиков (около 140 000), она тут же попала в их ленты. Позже бывший сотрудник Apple в своем микроблоге сообщил о том, что сайт, на который он дал ссылку, впоследствии взломали.

По информации "Доктор Веб", при нажатии на сообщение пользователь через сервис сокращенных ссылок http://www.bit.ly/ попадал на страницу видео-хостинга http://www.nowpublic.com/, содержащую ролик. При попытке посмотреть его, пользователь переадресовывался на страницу http://worldt**e.su. Далее при нажатии на видео, ему предлагалось скачать специальный кодек ActiveXsetup.exe, который на самом деле оказывался вирусом.

Как пояснили в "Доктор Веб", вредоносный скрипт на http://worldt**e.su при этом самостоятельно определяет вид операционной системы по user-agent браузера. В случае если используются браузеры, работающие под Windows, за кодеком скрывается Backdoor.Tdss.119. Если же используются браузеры, работающие с Mac OS X - Mac.Dnschanger.2. После запуска ActiveXsetup.dmg стартует файл install.pkg, активирующий Perl-скрипт, который загружает основной вирус. Функционал вируса в зараженной системе заключается в подмене адресов DNS-серверов при запросах, которые производит пользователь в адресной строке своего браузера. По мнению специалистов "Доктор Веб", такое поведение вируса может использоваться как для продвижения различных сайтов в поисковых системах, так и для переадресации пользователей на вредоносные интернет-ресурсы.

В скором времени после появления данного сообщения ссылка с http://www.nowpublic.com/ на http://worldt..e.su была удалена. Тем не менее, она была активна более 10 часов. Таким образом, она не только попала в ленты подписчиков блоггера, но и цитировалась ими.