пїЅпїЅпїЅпїЅпїЅпїЅпїЅпїЅ пїЅпїЅпїЅпїЅпїЅ
E-mail пїЅпїЅпїЅпїЅпїЅ
пїЅпїЅпїЅпїЅпїЅпїЅпїЅпїЅпїЅ
 
     
 
     
 
Восстановление пароля
E-mail:
 
     
 
 
 
+ Добавить в избранное
 

 
Найти
Найти друзей
     
 
 
 
AutoBlogger.ru - это сеть, объединяющая Вас со всеми автомобилистами и всех автомобилистов с Вами. Еще не с нами?

Присоединяйся! Нас больше 10 000!

Заработок в интернете

Особенности новой модификации вируса Trojan.PWS.Ibank

В начале января текущего года в распоряжении специалистов компании «Доктор Веб» оказался представитель очередной модификации троянского приложения Trojan.PWS.Ibank. Данная вредоносная утилита позволяет передавать преступникам ключи, идентификационные данные и данные о конфигурации различных клиент-банков. Особенностью данного троянца является то, что он содержит реализацию VNC-сервера. Код сервера содержит поддержку протокола взаимодействия с dedicated-сервером Zeus (вирус Trojan.PWS.Panda), при помощи которого и реализуется сеанс управления.

Еще одной важной особенностью данного приложения является наличие модуля для контроля и перехвата информации программного обеспечения, который используется в одном их финансовых учреждений РФ. Троянец обладает достаточно сложной архитектурой и дает возможность не только отправлять перехваченную информацию, но и выполнять на зараженной машине серию команд, присланных с удаленного сервера, включая команды удаления операционной системы. Техническая информация о принципе работы и структуре данного вируса была передана специалистами компании «Доктор Веб» в правоохранительные службы.

Практически в это же время были выявлены случаи распространения другого вирусного приложения, при помощи которого преступники планировали организовать фишинговую атаку, направленную на клиентов российского банка. Проникая на компьютер жертвы, вирус Trojan.Hosts.5590 запускает новый процесс explorer.exe и интегрирует в него собственный код, после чего прописывает себя в автоматическую загрузку под именем Eldesoft.exe.

Если для доступа к ресурсу банка используется обозреватель Microsoft Internet Explorer, троянское приложение запускает стандартную функцию crypt32.dll и устанавливает поддельный сертификат. При добавлении нового сертификата в хранилище система обычно выводит соответствующее окно с предупреждением: в данном случае вирус перехватывает и закрывает сообщение.

Если для входа на банковский сайт используется другой обозреватель, установка сертификата осуществляется при помощи библиотеки nss3.dll. Обратившись к удаленному серверу, Trojan.Hosts.5590 загружает оттуда файл конфигурации, содержащий имена доменов для подмены и IP-адрес фишингового сервера.

В дальнейшем, при обращении к сервису по протоколу HTTP, потенциальной жертве будет демонстрироваться поддельная интернет-страница, а введенные им данные для авторизации будут переданы преступникам. Благодаря предпринятым действиям службы безопасности банка, а также специалистами антивирусных компаний, данное вредоносное приложение в настоящее время не представляет серьезной угрозы для пользователей.

"AutoBlogger.ru" © 2008
Соглашение | Конфиденциальность | Контакты | Статьи
Rambler's Top100