курс цб на 23.10:
57.5118
67.8927

Dr.Web предупреждает о новом вредоносном коде для взлома систем ДБО

2 февраля 2012 10:00 Количество просмотров44 просмотра

Толковый словарь

В начале января 2012 г. в распоряжении специалистов Dr.Web
оказался образец очередной модификации вредоносной программы Trojan.PWS.Ibank, отвечающей
современным тенденциям использования систем ДБО. Эта программа позволяет
передавать злоумышленникам аутентификационные данные, ключи и сведения о
конфигурации множества различных банк-клиентов. Особенность данной модификации вредоносного
кода заключается в том, что она содержит в себе реализацию VNC-сервера. В коде
сервера организована поддержка протокола работы с dedicated-сервером Zeus
(Trojan.PWS.Panda), через который осуществляется сеанс удаленного управления.

Другая немаловажная особенность Trojan.PWS.Ibank –
присутствие модуля, предназначенного для мониторинга и перехвата информации
специализированного программного комплекса, используемого в одном из
государственных финансовых учреждений России. Данный код имеет достаточно сложную
архитектуру и позволяет не только передавать перехваченные данные
злоумышленникам, но также выполнять на инфицированной машине различные команды,
поступающие от удаленного центра, в том числе команды уничтожения операционной
системы. Подробная техническая информация о структуре и принципе действия
данного вредоносного ПО была своевременно передана компанией Dr.Web в
правоохранительные органы.

Примерно в это же время были зафиксированы случаи
распространения другой вредоносной программы, с помощью которой злоумышленники
планировали провести фишинговую атаку на клиентов одного из российских банков.
Попадая на компьютер жертвы, Trojan.Hosts.5590 создает новый процесс
explorer.exe и помещает туда собственный код, а затем прописывает себя в папке
автоматического запуска приложений под именем Eldesoft.exe.

В случае если для доступа к web-сайту банка используется браузер
Microsoft Internet Explorer, Trojan.Hosts.5590 вызывает стандартную функцию
crypt32.dll для установки поддельного сертификата. При добавлении сертификата в
хранилище операционная система обычно демонстрирует соответствующее
предупреждение: вредоносный код перехватывает и закрывает это окно.

Если для доступа к банковскому web-сайту используется другой браузер,
для установки сертификата применяются функции из стандартной библиотеки
nss3.dll. Связавшись с удаленным командным центром, Trojan.Hosts.5590 получает
оттуда конфигурационный файл, содержащий IP-адрес фишингового сервера и имена
доменов, которые код должен подменять. Впоследствии, при обращении к web-сайту системы банк-клиент по
протоколу HTTPS, пользователю будет демонстрироваться поддельная web-страница, а введенные им в форме
авторизации учетные данные будут переданы злоумышленникам. Благодаря
своевременным и грамотным действиям службы безопасности банка, а также усилиям
специалистов компании Dr.Web, данная вредоносная программа в настоящий момент
не представляет серьезной опасности для пользователей.

Ознакомиться с другими новостями по данной тематике Вы можете в
рубрике Безопасность

По материаламDr.Web




В рубриках:
Безопасность
Лента новостей
Безопасность
Платежный бизнес Google Pay стал доступен на Android
23 октября 2017 16:45
Количество просмотров 544 просмотра
Технологии Big Data для корпоративного бизнеса
18 октября 2017 13:02
Количество просмотров 1204 просмотра
Мероприятия SOC-Форум 2017 — 22 ноября в Москве
17 октября 2017 10:20
Количество просмотров 251 просмотр