курс цб на 17.12:
58.8987
69.4298

Dr.Web предупреждает о новом вредоносном коде для взлома систем ДБО

30 июня 2012 14:50 Количество просмотров56 просмотров

Толковый словарь

В начале января 2012 г. в распоряжении специалистов Dr.Web оказался образец очередной модификации вредоносной программы Trojan.PWS.Ibank, отвечающей современным тенденциям использования систем ДБО. Эта программа позволяет передавать злоумышленникам аутентификационные данные, ключи и сведения о конфигурации множества различных банк-клиентов. Особенность данной модификации вредоносного кода заключается в том, что она содержит в себе реализацию VNC-сервера. В коде сервера организована поддержка протокола работы с dedicated-сервером Zeus (Trojan.PWS.Panda), через который осуществляется сеанс удаленного управления.

Другая немаловажная особенность Trojan.PWS.Ibank – присутствие модуля, предназначенного для мониторинга и перехвата информации специализированного программного комплекса, используемого в одном из государственных финансовых учреждений России. Данный код имеет достаточно сложную архитектуру и позволяет не только передавать перехваченные данные злоумышленникам, но также выполнять на инфицированной машине различные команды, поступающие от удаленного центра, в том числе команды уничтожения операционной системы. Подробная техническая информация о структуре и принципе действия данного вредоносного ПО была своевременно передана компанией Dr.Web в правоохранительные органы.

Примерно в это же время были зафиксированы случаи распространения другой вредоносной программы, с помощью которой злоумышленники планировали провести фишинговую атаку на клиентов одного из российских банков. Попадая на компьютер жертвы, Trojan.Hosts.5590 создает новый процесс explorer.exe и помещает туда собственный код, а затем прописывает себя в папке автоматического запуска приложений под именем Eldesoft.exe.

В случае если для доступа к web-сайту банка используется браузер Microsoft Internet Explorer, Trojan.Hosts.5590 вызывает стандартную функцию crypt32.dll для установки поддельного сертификата. При добавлении сертификата в хранилище операционная система обычно демонстрирует соответствующее предупреждение: вредоносный код перехватывает и закрывает это окно.

Если для доступа к банковскому web-сайту используется другой браузер, для установки сертификата применяются функции из стандартной библиотеки nss3.dll. Связавшись с удаленным командным центром, Trojan.Hosts.5590 получает оттуда конфигурационный файл, содержащий IP-адрес фишингового сервера и имена доменов, которые код должен подменять. Впоследствии, при обращении к web-сайту системы банк-клиент по протоколу HTTPS, пользователю будет демонстрироваться поддельная web-страница, а введенные им в форме авторизации учетные данные будут переданы злоумышленникам. Благодаря своевременным и грамотным действиям службы безопасности банка, а также усилиям специалистов компании Dr.Web, данная вредоносная программа в настоящий момент не представляет серьезной опасности для пользователей.

Ознакомиться с другими новостями по данной тематике Вы можете в рубрике Безопасность

По материаламDr.Web




В рубриках:
Безопасность
Лента новостей
Безопасность
Digital banking Big Data в банкинге. Мифы и реальность
14 декабря 2017 14:03
Количество просмотров 271 просмотр
Мероприятия PRIVATE MONEY 2017: итоги форума
14 декабря 2017 10:39
Количество просмотров 143 просмотра
Digital banking Британцы выбирают цифровой банкинг
13 декабря 2017 13:01
Количество просмотров 193 просмотра
Регуляторы ЦБ приобрел 99,9% акций ФК «Открытие»
11 декабря 2017 15:30
Количество просмотров 439 просмотров
Банки и МФО Тинькофф Мобайл запустят 13 декабря
11 декабря 2017 15:07
Количество просмотров 476 просмотров
Банки и МФО Онлайн-заемщики МФО предпочитают Apple
11 декабря 2017 11:39
Количество просмотров 217 просмотров