Вирусный маркетинг «Аэрофлота»

Мой товарищ Денис К. часто летает на самолетах «Аэрофлота». Причем летает в бизнес-классе, потому что руководит филиалом крупной международной IT-компании. «Аэрофлот», как известно, очень любит своих клиентов и самым постоянным дарит приятные подарки. Так, Денису подарили подарили уже три флэшки с фирменной символикой, по 8 гигабайт каждая. Флэшки, правда, дико медленные и не подходят даже для использования в режиме ReadyBoost, но все равно хорошо.

Честно говоря, ума не приложу, зачем Денису понадобилось использовать эти сувениры по прямому назначению, но, вставив подарок в компьютер марки Acer, он вдруг получил сообщение антивируса о наличии на нем (подарке) адского трояна. Будучи человеком добрым и сомневающимся, Денис даже не поверил, что такое возможно. Тут же, не вставляя в компьютер, упаковал две оставшиеся флэшки в пакет и наутро отправил мне курьерской службой.

Вот они, родимые. Каждая размером с кредитку, но модуль с флэш-памятью совсем маленький и его, при желании, можно отсоединить.

0TrojanDropper:Win32/Silly_P2P.B флэшка Аэрофлот вирус троян

Вставляю первую в USB-порт. Антивирус молчит, а файловый менеджер информирует о ее девственной чистоте. Неужели зараженной была только одна флэшка?

Вставляю вторую… Ох ты! Microsoft Security Essentials информирует о наличии на носителе TrojanDropper:Win32/Silly_P2P.B, скрывающегося в файле Notepad.exe.

0TrojanDropper:Win32/Silly_P2P.B флэшка Аэрофлот вирус троян

Подробное описание этой гадины, известной с 2008 года, можно почитать тут. Ведет себя стандартно: скачивает дополнительные модули, загаживает систему и непонятно что делает с вашей информацией.

0TrojanDropper:Win32/Silly_P2P.B флэшка Аэрофлот вирус троян

0TrojanDropper:Win32/Silly_P2P.B флэшка Аэрофлот вирус троян

Для пущей надежности проверил флэшку при помощи новой версии Kaspersky Internet Security, вышедшей несколько дней назад. Троян был назван чуть иначе, но смысл от этого не меняется. Забавно, что если MSE просто сообщил об обнаружении заразы, то KIS ее сразу и без спроса грохнул, сообщив о результате пост-фактум :)

0TrojanDropper:Win32/Silly_P2P.B флэшка Аэрофлот вирус троян

Честно говоря, я даже теряюсь в догадках — как «Аэрофлот» мог так облажаться. Ладно бы флэшка была с записью, тогда троян мог просочиться на нее во время переноса информации. Так ведь пустая она! Кроме вируса нет ничегошеньки.

Будь я матерым параноиком, заподозрил бы неумелую попытку стырить личные данные у заведомо небедных людей (насколько мне известно, бедные в бизнес-классе летают относительно редко).

Но, скорее всего, некий тестовый стенд на безымянном китайском заводе давно и надежно заражен, и все флэшки, которые в него вставляются, становятся переносчиками вируса. А те, где вируса нет, просто не тестировались на качество даже формально (да, мне хорошо известно, что тестировать все миллионы флэшек всерьез — задача нереальная. Но на опознавание в системе их перед отгрузкой все же стараются проверять). А вот почему подрядчик сам не озадачился проверкой, учитывая высокий статус клиента, для меня загадка.

«Аэрофлоту» — пламенный привет. Очень, очень надеюсь, что к безопасности самолетов там подходят куда серьезнее.