02.02.2012, 10:00
Количество просмотров 95

Dr.Web предупреждает о новом вредоносном коде для взлома систем ДБО

В начале января 2012 г. в распоряжении специалистов Dr.Web оказался образец очередной модификации вредоносной программы Trojan.PWS.Ibank,...
Dr.Web предупреждает о новом вредоносном коде для взлома систем ДБО

Толковый словарь

В начале января 2012 г. в распоряжении специалистов Dr.Web

оказался образец очередной модификации вредоносной программы Trojan.PWS.Ibank, отвечающей

современным тенденциям использования систем ДБО. Эта программа позволяет

передавать злоумышленникам аутентификационные данные, ключи и сведения о

конфигурации множества различных банк-клиентов. Особенность данной модификации вредоносного

кода заключается в том, что она содержит в себе реализацию VNC-сервера. В коде

сервера организована поддержка протокола работы с dedicated-сервером Zeus

(Trojan.PWS.Panda), через который осуществляется сеанс удаленного управления.

Другая немаловажная особенность Trojan.PWS.Ibank –

присутствие модуля, предназначенного для мониторинга и перехвата информации

специализированного программного комплекса, используемого в одном из

государственных финансовых учреждений России. Данный код имеет достаточно сложную

архитектуру и позволяет не только передавать перехваченные данные

злоумышленникам, но также выполнять на инфицированной машине различные команды,

поступающие от удаленного центра, в том числе команды уничтожения операционной

системы. Подробная техническая информация о структуре и принципе действия

данного вредоносного ПО была своевременно передана компанией Dr.Web в

правоохранительные органы.

Примерно в это же время были зафиксированы случаи

распространения другой вредоносной программы, с помощью которой злоумышленники

планировали провести фишинговую атаку на клиентов одного из российских банков.

Попадая на компьютер жертвы, Trojan.Hosts.5590 создает новый процесс

explorer.exe и помещает туда собственный код, а затем прописывает себя в папке

автоматического запуска приложений под именем Eldesoft.exe.

В случае если для доступа к web-сайту банка используется браузер

Microsoft Internet Explorer, Trojan.Hosts.5590 вызывает стандартную функцию

crypt32.dll для установки поддельного сертификата. При добавлении сертификата в

хранилище операционная система обычно демонстрирует соответствующее

предупреждение: вредоносный код перехватывает и закрывает это окно.

Если для доступа к банковскому web-сайту используется другой браузер,

для установки сертификата применяются функции из стандартной библиотеки

nss3.dll. Связавшись с удаленным командным центром, Trojan.Hosts.5590 получает

оттуда конфигурационный файл, содержащий IP-адрес фишингового сервера и имена

доменов, которые код должен подменять. Впоследствии, при обращении к web-сайту системы банк-клиент по

протоколу HTTPS, пользователю будет демонстрироваться поддельная web-страница, а введенные им в форме

авторизации учетные данные будут переданы злоумышленникам. Благодаря

своевременным и грамотным действиям службы безопасности банка, а также усилиям

специалистов компании Dr.Web, данная вредоносная программа в настоящий момент

не представляет серьезной опасности для пользователей.

Ознакомиться с другими новостями по данной тематике Вы можете в

рубрике Безопасность

По материаламDr.Web

Рубрика:
{}Безопасность
Теги:
#
PLUSworld в соцсетях:
telegram
vk
youtube

ТАКЖЕ ПО ТЕМЕ