- Гаряча стрічка загроз 2010
- Компанія «Доктор Веб» вважає за необхідне привернути увагу офіційної влади до цієї проблеми. Їхня...
Гаряча стрічка загроз 2010
Встановіть тул-бар і заплатите за його видалення 
Компанія "Доктор Веб" повідомляє про поширення посилань на шкідливий сайт, з якого поширюється шкідлива програма класу Trojan.BrowseBan.
При відкритті шкідливого сайту повідомляється, що для перегляду вмісту необхідно завантажити та встановити тул-бар (плагін для браузера). За посиланням скачується скрипт на мові JavaScript розміром близько 200Кб. При запуску даного скрипта в браузер Internet Explorer встановлюється банер, що вимагає відправити платне SMS-повідомлення за його видалення.
Фішингових сайтів збирає доступ до акаунтів WebMoney
Компанія "Доктор Веб" повідомляє про функціонування фішингових сайту, який займається збором параметрів доступу до WebMoney-акаунтів користувачів цієї платіжної системи.
Посилання на шкідливий сайт поширюються за допомогою спам-повідомлень в електронній пошті. У листі повідомляється, що на комп'ютері користувача нібито виявлена шкідлива програма, і рекомендується протягом двох тижнів провести перевірку pwm-файлів на зазначеному сайті. pwm-файли є ключовими файлами платіжної системи WebMoney, і при наявності додаткової інформації забезпечують доступ до акаунтів WebMoney.
Всю цю інформацію і збирає шкідливий фішингових сайтів. Незважаючи на те, що в листі вказується нібито посилання на офіційний сайт webmoney.ru, фактично посилання веде на сайт, розташований в іншому домені.
Крім збору інформації, для доступу до рахунків користувачів-жертв на сайті распололжени різні дистрибутиви клієнтського ПЗ для доступу до платіжної системі. Але один з дистрибутивів визначається Dr.Web як Win32.Virut.56.
Torrent-трекери як транспорт для шкідливих програм
Компанія "Доктор Веб" повідомляє про випадки поширення шкідливих програм з використанням торрент-трекерів.
Зафіксована спам-розсилка в електронній пошті, в якій повідомляється про те, що користувачеві прийшла електронна листівка, і переглянути її можна, запустивши прикладений файл. До листів прикладений файл open.zip, всередині якого розташований файл open.exe.torrent, що є файлом, що належать до одного з торрент-трекерів, які не потребують реєстрації.
На момент виявлення розсилки, на торрент-трекер файл, до якого ставився розповсюджуваний торрент-файл, вже не був зареєстрований. Ймовірно, адміністрація торрент-трекера зреагувала оперативно, видаливши реєстрацію даної роздачі з торрент-трекера.
Але при масовості використання даного методу і беручи до уваги, що вільних торрент-трекерів (які не потребують реєстрації) існує досить багато, можна припускати, що не всі такі роздачі будуть вчасно фіксуватися і віддалятися з торрент-трекерів. Крім того, зловмисники для своїх цілей можуть створювати власні торрент-трекери.
Довідка від "Доктор Веб".
BitTorrent - це популярний інтернет-протокол, що дозволяє об'єднувати комп'ютери, що містять будь-яку інформацію, в мережі і завантажувати на будь-який комп'ютер цієї мережі інформацію, розташовану на інших комп'ютерах, що входять в торрент-мережа.
Всі файли, розташовані в торрент-мережах, зареєстровані на спеціальних сайтах, які називаються торрент-трекера. Будь-який зареєстрований на торрент-трекер користувач може публікувати на ньому власні файли, які можуть потім завантажувати всі користувачі торрент-трекера.
Крім торрент-трекерів, які вимагають реєстрацію, існують також трекери, які її не потребують. Тобто будь-яка людина, скачав файл з розширенням .torrent, має можливість завантажити файли, які прописані в цьому torrent-файлі. Такі файли зазвичай мають довжину не більше 200Кб. А файли, які викачуються при їх додаванні на закачування в менеджер завантаження, можуть досягати практично необмеженого розміру. В даний час закачування файлів з торрент-трекерів, які не потребують реєстрації, підтримує безліч популярних менеджерів закачування, таких як FlashGet, а також інтернет-браузери, наприклад, Opera.
SMS-шахраї повертаються до WebMoney
Компанія "Доктор Веб" повідомляє про функціонування шкідливого сайту, що пропонує перехоплення діалогів з чужих ICQ-акаунтів.
Різними методами автори сайту переконують відвідувачів в тому, що сервіс дійсно працює. Йдеться про те, що це не "злом ICQ-сервера" та інші очевидні неможливі речі. Також, як це часто буває, кажуть, що пропонований сервіс - єдиний в своєму роді.
Після реєстрації на сайті виводиться повідомлення про те, що оплата сервісу через SMS-повідомлення тимчасово припинена на прохання операторів стільникового зв'язку. Щоб дізнатися про новий спосіб оплати, користувачам пропонується відправити повідомлення по електронній пошті на адресу зловмисників. У відповідному повідомленні йдеться про те, що на даний момент можлива лише оплата через електронну платіжну систему WebMoney.
Як відомо, користувачів мобільних телефонів значно більше користувачів платіжної системи WebMoney. Даний факт говорить про те, що заходи з протидії SMS-шахраям, що вживаються стільниковими операторами і агрегаторами коротких номерів, починають діяти. Зловмисникам вже не завжди доступний спосіб отримання злочинного доходу за допомогою відправки користувачами-жертвами платних SMS-повідомлень, і тому зловмисники змушені втрачати значну частину свого злочинного доходу.
«Доктор Веб» розробив новий генератор кодів для розблокування Windows
Фахівці компанії «Доктор Веб» продовжують працювати над поліпшенням механізмів протидії троянських програм сімейства Trojan.Winlock.
Так, оновлений генератор кодів розблокування, що дозволяє розблокувати Windows для всіх користувачів, від яких зловмисники вимагають надіслати СМС-повідомлення з текстами у форматі a ******* 00 або K ******* 00.
Нагадуємо користувачам, що отримати коди розблокування системи, зараженої Trojan.Winlock, можна за допомогою безкоштовного сервісу «Доктор Веб» . Тут же ви маєте можливість обмінятися корисною інформацією з іншими користувачами, розмістити коди, які вам допомогли, але при цьому невідомі нам, - вони можуть стати в нагоді іншим жертвам зараження і допомогти в подальшій роботі над засобами боротьби з епідемією.
Оновлена бета-версія Dr.Web CureIt! для боротьби з Trojan.Winlock
Компанія «Доктор Веб» повідомляє про кардинальне оновлення утиліти Dr.Web CureIt !, призначеної для антивірусної перевірки і лікування комп'ютерів, в тому числі, з встановленим антивірусом іншого виробника. В оновленій версії реалізовані засоби для ефективної боротьби з троянцями-вимагачами сімейства Trojan.Winlock.
Новий стартер, включений в утиліту, активізує самозахист всіх файлів і процесів Dr.Web CureIt! до початку сканування.
Стартер забезпечує запуск утиліти на альтернативному робочому столі, що дозволяє уникнути блокування її роботи в разі зараження системи вірусами сімейства Trojan.Winlock.
Оновлена бета-версія Dr.Web CureIt! призначена для роботи на комп'ютерах під управлінням операційних систем Windows 2000 і вище (32- і 64-бітові версії).
Завантажити бета-версію утиліти .
Нова схема мобільного шахрайства
Компанія "Доктор Веб" повідомляє про початок використання зловмисниками нової схеми мобільного шахрайства, пов'язаної з новою схемою оплати послуг.
Користувачеві на сайті подано доступну ввести свій номер мобільного телефону, після чого на вказаний телефон приходить повідомлення, в якому наводиться посилання, яку потрібно відвідати для оплати послуги. Проходження за цим посиланням активує послугу, і гроші починають автоматично списуватися з рахунку мобільного телефону.
Шкідливість даної схеми полягає в тому, що номер телефону на сайті з платною послугою може вказати будь-яка людина, навіть не власник мобільного телефону. А в SMS-повідомленнях, що містять посилання для активації послуги, не міститься інформація про суть послуги, дані повідомлення мають абстрактне зміст. Дані SMS-повідомлення можуть переконати нічого не підозрює власника мобільного телефону пройти по посиланню, навіть якщо він не бажає замовляти послугу. Наприклад, в повідомленні може говоритися про те, що користувачеві відправили фотографію або картинку, або надіслали відеоролик.
Також можуть виникнути труднощі з відключенням подібних послуг.
Компанія "Доктор Веб" не рекомендує користувачам відкривати в браузері посилання, які містяться в SMS-повідомленнях від невідомих і навіть відомих відправників. В останньому випадку рекомендується зв'язатися з відправником і уточнити, чи дійсно він відправив дане повідомлення.
Онлайновий лже-антивірус встановлює класичний лже-антивірус
Цікаву і досить складну схему використовують зловмисники, які створили шкідливий сайт з черговим онлайновим лже-антивірусом. Виконаний він англійською мовою і схожий зовні на російськомовний онлайновий лже-антивірус, про який вже говорилося в "Стрічці" раніше, має вигляд Провідника Windows.
Після проведення "сканування" системи і виявлення "вірусів" з'являється запрошення завантажити і встановити програму, яка визначається Dr.Web як Trojan.Fakealert.8499.
Дана шкідлива програма після установки також пропонує просканувати комп'ютер і після чергового перебування "вірусів" пропонує придбати "повну версію".
І онлайновий "антивірус", і встановлюється на комп'ютер в цій схемі є лише красивою бутафорією, яка є для вимагання у користувачів грошей.
Найпопулярніший ролик - Trojan.Packed
За допомогою ICQ-спаму поширюється посилання на шкідливий сайт, на якому розташований нібито популярний ролик. Скачується zip архів, в якому розташовані текстовий файл і виконуваний файл.
Вміст текстового файлу:
Смішні (1-е місце в ТОП-10 за місяць)
Тривалість: 0:35
Тип: .scr
Виконуваний файл визначається Dr.Web як Trojan.Packed.19642.
Microsoft AntiSpayware - нове слово в онлайнових лже-антивіруси
Новий шкідливий сайт, який представляє з себе онлайновий лже-антивірус, має не такий красивий дизайн, як його попередники, але прикривається ім'ям компанії Microsoft.
Посилання на цей сайт поширюються через рекламні спливаючі повідомлення на сайтах з безкоштовними ресурсами в правій нижній частині інтернет-сторінки і нагадують спливаючі повідомлення офіційного клієнта ICQ.
В "повідомленні" йдеться про те, що на комп'ютері користувача виявлені шкідливі програми і пропонується пройти по посиланню, яка допоможе дану проблему вирішити.
Шкідливі проксі для доступу до соцмереж
Користувачі повідомляють про появу підозрілого сайту, націленого на тих користувачів популярних в Росії соціальних мереж odnoklassniki.ru і vkontakte.ru, які мають потребу заходити на ці сайти з робочих комп'ютерів з використанням доступу в Інтернет, що надається роботодавцем.
При цьому часто адміністратори локальних мереж підприємств блокують доступ до сайтів соціальних мереж як до потенційно небезпечних ресурсів. Шкідливий сайт пропонує таким користувачам безкоштовні проксі-сервери - сайти з іншими, незаблокованими, адресами, за допомогою яких можна отримати доступ на заблоковані ресурси, відповідні соцмережах.
При цьому необхідно мати на увазі, що весь трафік, який проходить через такі проксі-сервера, стає доступним зловмисникам, які організували ці сервера. І, незважаючи на те, що доступ на заблоковані сайти соцмереж дійсно надається, зловмисникам стають доступні параметри доступу користувачів до соцмереж, а також вся приватна інформація.
Деякі з подібних проксі-серверів браузер Firefox визначає як шахрайські.
Компанія "Доктор Веб" не рекомендує використовувати подібні проксі-сервера на увазі їх небезпеки для особистої інформації користувачів.
У Росії епідемія Trojan.Winlock. Заражені мільйони комп'ютерів
Компанія «Доктор Веб» - російський розробник засобів інформаційної безпеки - попереджає про те, що епідемія троянців сімейства Trojan.Winlock набирає обертів. У січні 2010 року кількість росіян, які постраждали від шкідливих програм, що вимагають за розблокування Windows надіслати платне SMS-повідомлення, становила кілька мільйонів. Можливі втрати складають сотні мільйонів рублів.
Перші модифікації Trojan.Winlock з'явилися близько 3-х років тому. На той момент вони не представляли серйозної загрози: автоматично віддалялися з комп'ютера через кілька годин після установки, не запускалися в безпечному режимі Windows, а вартість SMS-повідомлень, які вимагали відправити автори троянця, була не такою високою, як зараз (в середньому близько 10 рублів в порівнянні c 300-600 рублями).
З листопада 2009 року ця схема відбирання грошей користується все більшим успіхом у зловмисників - нові модифікації Trojan.Winlock стають все більш небезпечними. За зняття повідомлення про блокування Windows, яке вискакує поверх всіх вікон і унеможливлює нормальну роботу на комп'ютері, вирусописатели вимагають набагато більше грошей. Троянці вже не видаляються автоматично з системи в після деякого часу, але набувають додатковий функціонал. Зокрема, вони перешкоджають запуску деяких програм в зараженій системі (файлових менеджерів, антіруткіта, утиліт збору інформації, яка може допомогти в лікуванні системи).
Шкідливі програми сімейства Trojan.Winlock поширюються через уразливість в Windows (зокрема, Internet Explorer), шкідливі сайти (завантажувані кодеки), експлойти iframe, а також ботнети (автори ботнету продають установку будь-якої шкідливої програми на зараженому комп'ютері).
Тільки за січень число постраждалих в Росії від блокувальників Windows склало кілька мільйонів користувачів. З урахуванням того, що середня вартість SMS-повідомлення - 300-600 рублів, приблизні втрати росіян від цього виду шкідливого ПЗ тільки в першому місяці 2010 року склали сотні мільйонів рублів.
У зв'язку з тим, що з кожним днем з'являються нові модифікації Trojan.Winlock, незахищеними залишаються навіть ті користувачі, які застосовують постійно оновлювані антивірусні рішення різних виробників.
Для допомоги постраждалим компанія «Доктор Веб» в спеціальному розділі свого офіційного сайту зібрала всю актуальну інформацію про ці троянця. Зокрема, форму розблокування, яка допомагає безкоштовно знайти необхідний код. Тільки за перші 2 дні роботи цього проекту, його відвідали сотні тисяч користувачів.
Компанія «Доктор Веб» вважає за необхідне привернути увагу офіційної влади до цієї проблеми. Їхня допомога у виявленні людей, які реєструють номери, на які зловмисники вимагають відправляти платні SMS-повідомлення, могла б зменшити число потенційних жертв. Крім того, ми закликаємо операторів стільникового зв'язку блокувати ці номери за першими ж скаргами абонентів.
Порнобанер для користувачів ВКонтакте
Користувачі повідомляють про поширення через спам-повідомлення в соціальній мережі ВКонтакте посилань на файл, викладений на файлообмінному сервері file.qip.ru. Викладений там файл визначається Dr.Web як Trojan.Blackmailer.1595, який відноситься до класу порно-банерів, що встановлюються в інтернет-браузери і вимагає для видалення відправки платних SMS-повідомлень.
В даний час по посиланню з спам-повідомлень даний файл недоступний.
Арсенал для знищення Trojan.Winlock в новому проекті компанії «Доктор Веб»
Компанія «Доктор Веб» запускає новий проект , Який об'єднає в собі масу інформації про небезпечний сімействі троянців, які блокують доступ в Windows (Trojan.Winlock). У новому розділі сайту «Доктор Веб» можна дізнатися код розблокування, а також обмінятися з іншими користувачами корисною та актуальною інформацією про дану загрозу.
Компанія «Доктор Веб» в рамках свого нового проекту збере всі дані, які зможуть допомогти постраждалим від троянців, які блокують доступ до операційної системи Windows.
В останні місяці даний вид шкідливих програм отримав дуже широке поширення, приносячи зловмисникам величезні доходи. Страждають же в цій ситуації рядові користувачі, які піддаються на виверти вірусів і відправляють їм платні SMS-повідомлення.
Завдяки новому проекту компанії «Доктор Веб» користувачі безкоштовно зможуть вирішити цю проблему, визначивши модифікацію Trojan.Winlock, якої заразилися, а також отримавши код розблокування.
Крім того, вони зможуть обмінятися інформацією про нові модифікаціях цієї загрози, з якими справляються не всі антивірусні продукти, поділитися останніми кодами розблокування.
Троянці для користувачів AOL Instant Messenger
Зафіксовано новий тип розсилки в електронній пошті, пов'язаний з поширенням троянців сімейства Trojan.PWS.Panda, зокрема, Trojan.PWS.Panda.220.
Листи орієнтовані на користувачів системи миттєвого обміну повідомленнями AOL Instant Messenger (AIM). У листі повідомляється про те, що робота аккаунта користувача тимчасово припинена, а протягом 72 годин він буде видалений.
Для вирішенню проблеми зловміснікі предлагают скачати з шкідлівого сайту нібіто критично оновлення AIM-клієнта для вирішенню проблеми. Насправді "оновлення" є шкідливою програмою.
Цікавим чином зловмисники обходять проблему можливого блокування деяких шкідливих сайтів, з яких поширюються троянці. У листі вони повідомляють потенційним жертвам про те, що посилання на оновлення AIM генерується індивідуально для кожного користувача, але час її життя обмежене. Таким чином, на момент отримання листа посилання може не працювати. Але користувач зможе отримати іншу посилання в наступному подібному листі.
CoolTooth - новий спосіб SMS-шахрайства
Користувачі повідомляють, що за допомогою спам-повідомлень через ICQ поширюються посилання на нібито утиліту, що дозволяє адмініструвати віддалено чужі мобільні телефони. Зловмисники запевняють користувачів в тому, що вони можуть вчиняти дії на іншому телефоні так само, як ніби чужий телефон знаходиться у них в руках.
Як символ пропонованої програми було вибрано зображення, яке асоціюється з технологією Bluetooth, також було вибрано схожу назву пропонованого продукту.
Зловмисників видає той факт, що SMS пропонується відправити незалежно від того, чи вибрав відвідувач шкідливого сайту модель свого стільникового телефону чи ні.
Новий онлайновий фальшивий антивірус імітує Провідник Windows
Працівниками Державтоінспекції зафіксовано поширення нового онлайнового фальшивий антивірус, інтерфейс якого повторює стандартний інтерфейс Провідника Windows.
При відкритті шкідливого сайту відразу ж починається "сканування" і виявляються "віруси". Після цього відображається нібито вікно Центру забезпечення безпеки, в якому пропонується вилікувати систему від нібито знайдених вірусів. Для посилення візуального ефекту існує можливість переміщати це вікно в межах даної інтернет-сторінки.
При цьому в черговий раз зловмисники залякують користувача грізними написами про те, що шкідливі файли можуть відсилати інформацію зловмисникам з комп'ютера користувача, а також красти паролі, адреси електронної пошти та іншу важливу інформацію.
Фішинг проти користувачів ВКонтакте
Користувачі повідомляють про спам-повідомленнях в ICQ з посиланням на фішингових сайтів з інтерфейсом, схожим на сторінку входу популярної соціальної мережі ВКонтакте. Після введення інформації, що вимагається для аутентифікації користувача цієї соціальної мережі, вона відправляється зловмисникам, а шкідливий сайт робить перенаправлення на офіційний сайт соцмережі ВКонтакте.
SMS-шахрайство оптом
В останні тижні через спам-повідомлення в електронній пошті поширюються посилання на сайти, на яких представлено відразу безліч шкідливих сайтів, що займаються SMS-шахрайством. І якщо для деяких наданих там сайтів наявність елементів SMS-шахрайства не так очевидно, то для інших це очевидно цілком. Зловмисники розраховують на те, що якщо на одній сторінці будуть представлені різні прийоми соціальної інженерії, то який-небудь обов'язково зацікавить потенційну жертву.
Посилання на такі сторінки побудована таким чином, що якщо в адресному рядку браузера набрати адресу домену, то відкриється інша сторінка. При цьому в назві конкретної шкідливої сторінки свідомо допускається помилка - defult.asp замість стандартного default.asp. Про причини такої поведінки можна тільки здогадуватися. Можливо, це зроблено для того, щоб всі вважали, що сайт зламаний.
Останнім часом через подібні сайти поширюються посилання на інші шкідливі сайти, які реалізують такі схеми шахрайства (які ще не згадувалися в "Гарячої стрічці загроз"): позбавлення від підліткових прищів за кілька годин, пошук інтимних фотографій знайомих людей, доступ до "прихованих можливостей" соціальних мереж.
"Мобільні сканери" наступають
Користувачі продовжують повідомляють про чергові випадках SMS-шахрайства, при яких з шкідливих сайтів пропонується завантажити так звані "мобільні сканери", що дозволяють отримати зображення людини, на якого спрямована камера телефону, без одягу.
Користувачі повідомляють, що в деяких випадках шахраї дійсно надають ПО для мобільних телефонів, але його функціональність відрізняється від заявленої. Зокрема, в програму "зашиті" кілька повторюваних відео-фрагментів, які програються при використанні програми. Реального функціоналу "рентгенівських сканерів" такі програми не містять.
Крім відправки SMS-повідомлень автори таких шкідливих сайтів стали частіше пропонувати альтернативні варіанти оплати "послуги", такі як дзвінок на платний номер телефону тривалістю не менше будь-якого часу.
Чергові "сканери тіла"
Користувачі повідомляють про поширення посилань на шкідливі сайти, що пропонують скачати програми для мобільних телефонів, що дозволяють побачити оголене зображення людини, на яке спрямовується фото / відеокамера власника телефону.
Для заманювання користувачів використовуються такі прийоми соціальної інженерії як показ відео-роликів, нібито демонструють функціонал "сканера". Також користувачеві перед оплатою "сканера" за допомогою платного SMS-повідомлення пропонується вибрати певну модель телефону.
Подібні фактори у багатьох користувачів викликають високий ступінь довіри до онлан-сервісів.
SMS-шахраї пропонують музику, що впливає на психіку
Через спам-повідомлення в електронній пошті зафіксовано поширення посилань на шкідливий сайт, автори якого пропонують користувачам аудіо-файли, які нібито впливають на психіку людини. Практика користувачів-жертв показує, що навіть якщо користувачі і отримують щось від подібних шахраїв, то дані файли не викликають описуваного на сайті ефекту, а в деяких випадках викликають навіть дискомфорт.
Атаки через ICQ
Зловмисники в останні дні почали активно використовувати канал ICQ для своєї шкідливої діяльності. При цьому далеко не завжди для своїх цілей вони використовують шкідливі сайти з якісною графікою. Часто їм досить самих повідомлень.
Так, 18 січня була зафіксована розсилка шкідливих повідомлень з пропозицією встановити в ICQ антиспам. Пропозиція з'являється вже в момент спроби авторизуватися з номера ICQ, що належить зловмисникам. Для докладної інформації пропонується відправити на цей номер будь-яке повідомлення. Після цього користувачеві, який може виявитися потенційною жертвою, пропонується відправити платне SMS-повідомлення - нібито цього достатньо для установки антиспаму.
В іншому повідомленні пропонується завантажити нібито фотографію, яка насправді виявляється шкідливою програмою для мобільних телефонів і визначається Dr.Web як Java.SMSSend.132.
Розробники "ICQ-шпигуна" набивають собі ціну
За допомогою рекламного сервісу Google AdSence зловмисники поширюють посилання на шкідливий сайт detectivonline.ru, на якому розташована тільки посилання "Вхід на сайт", яка може бути в будь-який момент змінена на будь-який шкідливий сайт без необхідності змінювати оголошення Google AdSence, яке публікується на сайтах учасників даної рекламної мережі.
В даний час посилання з сайту detectivonline.ru веде на шкідливий сайт, що пропонує нібито читати листування будь-якого користувача популярного сервісу обміну миттєвими повідомленнями ICQ. При цьому отримувати листування пропонується за допомогою e-mail-повідомлень.
Зловмисники пишуть про те, що в мережі багато підроблених сайтів, що пропонують подібні послуги, але тільки даний сайт надає послугу в повному обсязі.
На сторінці з ліцензійною угодою чітко мотивується необхідність оплати даного сервісу. В якості основних аргументів - необхідність утримувати високооплачувані сервера, підключені до швидкісних інтернет-каналах, а також необхідність утримувати висококваліфікований персонал. Звичайно, все це пишеться лише для отримання легких грошей.
Згодом зловмисники використовують все більш переконливі слова для заманювання користувачів в шахрайські схеми.
Новий онлайновий лже-антивірус притягує увагу
Зафіксована розсилка спам-повідомлень через ICQ з посиланням на очеденой шкідливий сайт, який реалізує схему онлайнового лже-антивіруса.
Особливостями останніх онлайнових лже-антивірусів є відсутність назви пропонованих "продуктів" і переміщення акцентів на візуальні методи соціальної інженерії. Зокрема відразу після відкриття сайту з'являється "спливаюче вікно", при цьому затінюючи залишилася область сайту, тим самим приковуючи увагу користувача.
По закінченню "перевірки системи" виводяться грізні повідомлення про те, що секретні дані можуть бути вкрадені, і про те, що вирішити дані "проблеми" потрібно негайно. Останнім часом на подібних сайтах повідомлення стають все більш агресивними.
Зловмисники намагаються також утримати користувачів на сайті довше. Зокрема при спробі закрити вікно з описуваних шкідливим сайтом або перейти на іншу сторінку виводиться підтверджує запит про те, чи дійсно користувач хоче покинути цей шкідливий сайт.
На сторінку: