«Доктор Веб» обнаружила, что через известный сервис микроблогинга Twitter.com распространяется новая угроза. C одного из аккаунтов по его подписчикам рассылается сообщение, содержащее вредоносную ссылку. При переходе по ней пользователю предлагается скачать специальный кодек для просмотра порноролика, который оказывается вредоносной программой. При этом ресурс, созданный злоумышленниками, самостоятельно определяет вид операционной системы, предлагая разные угрозы для ОС Windows и Mac OS X.
В среду, 24 июня, в микроблоге одного из пользователей Twitter.com, который является бывшим сотрудником компании Apple, появилось сообщение, содержащее следующую запись: "Leighton Meester sex tape video free download!", а также ссылку, как оказалось, на сайт с вредоносными объектами.
Так как блог данного пользователя на Twitter.com обладает значительным количеством подписчиков (около 140000), она тут же попала в их ленты. При нажатии на сообщение пользователь через сервис сокращенных ссылок http://www.bit.ly/ попадал на страницу видео-хостинга http://www.nowpublic.com/, содержащую ролик. При попытке посмотреть его, пользователь переадресовывался на страницу http://worldt**e.su. Далее при нажатии на видео, ему предлагалось скачать специальный кодек ActiveXsetup.exe, который на самом деле оказывался вирусом.
Вредоносный скрипт на http://worldt**e.su при этом самостоятельно определяет вид операционной системы по user-agent браузера. В случае если используются браузеры, работающие под Windows, за кодеком скрывается Backdoor.Tdss.119. Если же используются браузеры, работающие с Mac OS X – Mac.Dnschanger.2. После запуска ActiveXsetup.dmg стартует файл install.pkg, активирующий Perl-скрипт, который загружает основной вирус.
Его функционал в зараженной системе заключается в подмене адресов DNS-серверов при запросах, которые производит пользователь в адресной строке своего браузера.
Такое поведение вируса может использоваться как для продвижения различных сайтов в поисковых системах, так и для переадресации пользователей на вредоносные интернет-ресурсы.
В скором времени после появления данного сообщения ссылка с http://www.nowpublic.com/ на http://worldt..e.su была удалена. Тем не менее, она была активна более 10 часов. Таким образом, она не только попала в ленты подписчиков блоггера, но и цитировалась ими.