Выявленный вирус осуществляет переадресацию со страницы запрашиваемого ресурса на фиктивную, скопированную с настоящей. Подмена осуществлялась для самых популярных ресурсов Рунета: Яндекс, Рамблер, Майл, ВКонтакте, Одноклассники, сообщается на официальном сайте МВД России.
Набирая на «зараженном» компьютере адрес одного из указанных ресурсов, пользователь попадает на сервер-подмену, где ему предлагается страница для входа в систему (имя и пароль). С учетом того, что в адресной строке указано корректное имя, а внешний вид скопирован с оригинального сервера, у большинства пользователей не возникает подозрений в подлинности страницы.
После ввода имени и пароля отображается иная страница, где уже говорится о необходимости «подтверждения» или «активации» учетной записи за смс на короткий номер, стоимость которого минимальная или якобы бесплатная.
Таким образом, злоумышленники не только снимают денежные средства со счетов абонентов, но и получают логин и пароль доступа пользователя к указанным популярным ресурсам, что позволяет им в дальнейшем отправлять от имени «жертвы» различные сообщения, например:
Основные темы, которые используются для «рекламы» скачивания и запуска зараженных программ: бесплатное повышение рейтинга «Вконтакте»; программа перехвата SMS сообщений с телефона; дополнительные функции в социальных сетях, которые не существуют (подарки, VIP-доступ и т.д.). После перехода по ссылке компьютер пользователя автоматически запускает вредоносную программу.
Сотрудники МВД России рекомендуют пострадавшим от действия данного вируса изменить пароль доступа к указанным ресурсам, а также установить версии антивирусных программ с обновленными антивирусными базами. Также необходимо помнить, что ресурсы популярных сайтов никогда не потребуют от уже зарегистрировавшегося пользователя дополнительной авторизации, тем более за деньги путем отправки смс.