Файл с базой данных 135 000 учетных записей пользователей "Вконтакте" был выложен по адресу http://83.133.120.252/fakes/vkontakte/log.txt. В нем содержались адреса электронной почты и пароли, многие из которых были действующими. К 9:30 часам утра по московскому времени 31 июля этот файл был удален. По данным "Лаборатории Касперского", логины и пароли были похищены при помощи вредоносной программы Trojan.Win32.VkHost.an.
После установки в систему данный троянец подменяет оригинальный файл hosts (127.0.0.1 localhost) на следующий:
83.133.120.252 vkontakte.ru
83.133.120.252 odnoklassniki.ru
Она распространялась через одно из приложений "Вконтакте", которое уже заблокировано администрацией социальной сети.
У пользователей, чьи ПК оказались инфицированны этой программой, вместо сайтов "Вконтакте" и "Одноклассники" открывались фишинговые страницы, дизайн которых в точности повторял оригинальные ресурсы. Все логины и пароли, введенные на таких сайтах, попадали в руки злоумышленников. При этом пользователям сообщалось о блокировке аккаунта. Для разблокировки предлагалось отправить SMS, стоимость которого достигала десяти долларов.
Сайт 83.133.120.252 "Лаборатория Касперского" идентифицирует как фишинговый. При попытке обращения к этому ресурсу, он блокируется антивирусными продуктами компании.
Эксперты по безопасности рекомендуют всем пользователям "Вконтакте" и "Одноклассников" проверить содержимое файлов hosts. Они находятся по адресу windows\system32\drivers\etc. Если в них оказались ссылки на vkontakte.ru и odnoklassniki.ru, то файлы нужно удалить и сменить все логины и пароли.
Также проверить наличие учетной записи в базе данных злоумышленников можно в специальном разделе сайта Securelist.
http://www.securelist.com/ru/weblog/39133/Onlayn_proverka_dlya_postradavshikh
