курс цб на 17.10:
57.0861
67.2988

Dr.Web предупреждает о новом вредоносном коде для взлома систем ДБО

30 июня 2012 14:50 Количество просмотров20 просмотров

Толковый словарь

В начале января 2012 г. в распоряжении специалистов Dr.Web оказался образец очередной модификации вредоносной программы Trojan.PWS.Ibank, отвечающей современным тенденциям использования систем ДБО. Эта программа позволяет передавать злоумышленникам аутентификационные данные, ключи и сведения о конфигурации множества различных банк-клиентов. Особенность данной модификации вредоносного кода заключается в том, что она содержит в себе реализацию VNC-сервера. В коде сервера организована поддержка протокола работы с dedicated-сервером Zeus (Trojan.PWS.Panda), через который осуществляется сеанс удаленного управления.

Другая немаловажная особенность Trojan.PWS.Ibank – присутствие модуля, предназначенного для мониторинга и перехвата информации специализированного программного комплекса, используемого в одном из государственных финансовых учреждений России. Данный код имеет достаточно сложную архитектуру и позволяет не только передавать перехваченные данные злоумышленникам, но также выполнять на инфицированной машине различные команды, поступающие от удаленного центра, в том числе команды уничтожения операционной системы. Подробная техническая информация о структуре и принципе действия данного вредоносного ПО была своевременно передана компанией Dr.Web в правоохранительные органы.

Примерно в это же время были зафиксированы случаи распространения другой вредоносной программы, с помощью которой злоумышленники планировали провести фишинговую атаку на клиентов одного из российских банков. Попадая на компьютер жертвы, Trojan.Hosts.5590 создает новый процесс explorer.exe и помещает туда собственный код, а затем прописывает себя в папке автоматического запуска приложений под именем Eldesoft.exe.

В случае если для доступа к web-сайту банка используется браузер Microsoft Internet Explorer, Trojan.Hosts.5590 вызывает стандартную функцию crypt32.dll для установки поддельного сертификата. При добавлении сертификата в хранилище операционная система обычно демонстрирует соответствующее предупреждение: вредоносный код перехватывает и закрывает это окно.

Если для доступа к банковскому web-сайту используется другой браузер, для установки сертификата применяются функции из стандартной библиотеки nss3.dll. Связавшись с удаленным командным центром, Trojan.Hosts.5590 получает оттуда конфигурационный файл, содержащий IP-адрес фишингового сервера и имена доменов, которые код должен подменять. Впоследствии, при обращении к web-сайту системы банк-клиент по протоколу HTTPS, пользователю будет демонстрироваться поддельная web-страница, а введенные им в форме авторизации учетные данные будут переданы злоумышленникам. Благодаря своевременным и грамотным действиям службы безопасности банка, а также усилиям специалистов компании Dr.Web, данная вредоносная программа в настоящий момент не представляет серьезной опасности для пользователей.

Ознакомиться с другими новостями по данной тематике Вы можете в рубрике Безопасность

По материаламDr.Web




В рубриках:
Безопасность
Лента новостей
Безопасность
Криптовалюты Crypterium: как работает криптобанк?
13 октября 2017 14:36
Количество просмотров 749 просмотров
Регуляторы Банкноты 200 и 2000 рублей: какие они?
12 октября 2017 15:00
Количество просмотров 467 просмотров
Технологии Сбербанк выводит роботов на работу
12 октября 2017 14:02
Количество просмотров 1036 просмотров
Мероприятия Cloud Services Russia 2017 пройдет в Москве
10 октября 2017 11:31
Количество просмотров 202 просмотра
Платежный бизнес QIWI не останется без «Совести»
9 октября 2017 15:06
Количество просмотров 450 просмотров