AM_Bot

«Великие» киберкомбинаторы в поисках наживы: вирусный ноябрь 2010 года

В этой теме 4 сообщения

3 декабря 2010 года

На фоне понижения температуры в ноябре наблюдалось повышение изобретательности интернет-мошенников. Антивирусные компании и пользователи компьютеров столкнулись с новыми методами мошенничества, которые используют технологии буткитов. Появились новые варианты троянцев-шифровальщиков, на этот раз ориентированные на европейских пользователей. Злоумышленники, которые работают по-крупному, продолжают атаковать системы дистанционного банковского обслуживания клиентов банков.

Загрузочный блокировщик Windows

В ноябре получила распространение вредоносная программа Trojan.MBRlock.1, которая незамедлительно была взята на вооружение интернет-мошенниками. Данный троянец по своему функционалу существенно отличается от всех известных до этого мошеннических вредоносных программ.

При заражении системы программа обходит UAC (защитный функционал Windows), поэтому установка в систему происходит незаметно. После установки троянец прописывается в главную загрузочную запись и близлежащие сектора жесткого диска.

В главной загрузочной записи жесткого диска после заражения появляется код, который загружает информацию с соседних секторов диска. Как следствие — на экран выводятся требования злоумышленников заплатить за разблокировку системы $100.

1.1.png

В сообщении в числе прочего говорится о том, что содержимое всех дисков компьютера якобы зашифровано. Это не соответствует действительности.

В любом случае после факта заражения лечение из самой системы становится невозможным, т. к. она даже не начинает загружаться.

При вводе верного пароля происходит восстановление исходного состояния загрузочной области диска, и загрузка установленной операционной системы происходит в обычном режиме.

В настоящее время известно несколько модификаций Trojan.MBRlock.1, каждая из которых, тем не менее, определяется антивирусом Dr.Web одинаково.

Для лечения системы необходимо ввести известные коды разблокировки: ekol или jail. Если ни один из этих кодов не подойдет, пострадавшие пользователи имеют возможность обратиться в бесплатную техническую поддержку компании «Доктор Веб» по интернет-мошенничеству.

Некоторые модификации Trojan.MBRlock.1 до внесения их в базу антивируса Dr.Web определялись эвристическим анализатором как MULDROP.Trojan. Таким образом, пользователи антивируса Dr.Web уже были защищены — до того, как для данных модификаций были созданы полноценные вирусные записи.

Новая версия троянца-шифровальщика

В ноябре вновь напомнили о себе троянцы-шифровальщики. На этот раз авторы данных вредоносных программ нацелились на европейских пользователей.

Trojan.Encoder.88 шифрует пользовательские документы многих популярных форматов по алгоритму AES-256, что существенно затрудняет расшифровку. Так, для полного перебора всех возможных ключей расшифровки в поисках того, который необходим для восстановления файлов всего на одном зараженном компьютере, потребуется 2256 операций. Это превышает число, которое можно записать как единицу с 77 нулями.

При этом для каждого компьютера генерируется свой уникальный ключ шифрования, после чего он шифруется по алгоритму RSA и сохраняется на диске в виде текстового файла.

До создания специальной записи для детекта Trojan.Encoder.88 данная модификация троянца-шифровальщика определялась антивирусом Dr.Web с помощью технологии поиска cовпадений Origins Tracing как Trojan.Encoder.origin.

Интернет-мошенничество в ноябре: винлоки возвращаются

В ноябре в бесплатную техническую поддержку для пользователей — жертв интернет-мошенничества поступило около 4700 запросов, что составило около 42% всех обращений. Среднесуточное количество обращений составило 146, что приблизительно на треть превышает аналогичный показатель в октябре.

Основным типом мошеннических программ в ноябре снова стало семейство Trojan.Winlock (73% обращений). Также заметным было количество обращений по троянцам семейства Trojan.Hosts, блокирующим доступ к популярным интернет-ресурсам.

В схемах монетизации незаконных доходов интернет-мошенников также происходят изменения. Доля вредоносных программ, требующих от пользователей отправить СМС-сообщения, продолжает снижаться, а в ноябре количество обращений по подобным программам составило 31% всех запросов.

С другой стороны, злоумышленников все больше привлекает схема передачи денег от пострадавших пользователей через отправку наличных денег посредством терминалов на счета мобильных телефонов (60% всех обращений). При этом если ранее злоумышленники использовали мобильные номера, принадлежащие только одному популярному российскому сотовому оператору, то в течение ноября на постоянной основе стали использоваться номера телефонов, относящиеся к другому сотовому оператору, также российскому (49% и 11% всех обращений соответственно).

Банковские троянцы наступают

В ноябре продолжали появляться новые троянцы, нацеленные на пользователей систем дистанционного банковского обслуживания (ДБО). По-прежнему под прицелом находятся как частные клиенты, так и юридические лица.

В частности, в течение ноября в вирусную базу антивируса Dr.Web были добавлены несколько модификаций Trojan.PWS.Ibank.213.

Данный троянец в различных своих модификациях является своеобразным контейнером для различного вредоносного наполнения. В качестве основного вредоносного функционала он умеет отключать компоненты защитного ПО, имеет возможность обнаруживать факт запуска в виртуальных средах, которые могут помочь изучить функционал программы, а также может отключать системный механизм создания точек восстановления.

Для сбора информации, необходимой для доступа к аккаунтам систем ДБО, троянец перехватывает некоторые системные функции и функции систем ДБО, сохраняет информацию, вводимую пользователем с клавиатуры. Тот факт, что Trojan.PWS.Ibank.213 имеет возможность связываться с сервером, расположенным в Интернете, а после этого загружать и запускать исполняемые файлы, говорит о том, что зараженные данной программой компьютеры являются частью бот-сети.

Ноябрь 2010 года показал, что различные цели злоумышленников и различные типы вредоносных программ, которые они используют в своей незаконной деятельности, могут использоваться в самых причудливых комбинациях. При этом наибольшую эффективность показывают те антивирусные продукты, в которых реализован функционал противодействия всем известным типам вредоносных программ, а также методы лечения от них. По-прежнему слабым звеном в защите системы и информации, расположенной на дисках, является сам пользователь компьютера. Еще раз обращаем внимание пользователей: следование элементарным правилам информационной безопасности позволяет на порядки снизить вероятность заражения системы.

Вредоносные файлы, обнаруженные в ноябре в почтовом трафике

01.11.2010 00:00 - 01.12.2010 00:00

1Trojan.DownLoader.62844887472 (16.61%)

2Trojan.DownLoad1.58681560304 (10.49%)

3Trojan.Packed.20878409498 (7.67%)

4Win32.HLLW.Texmer.51386408 (7.23%)

5Win32.HLLM.Netsky.18401317070 (5.93%)

6Trojan.Oficla.zip296642 (5.55%)

7Win32.HLLM.MyDoom.33808270438 (5.06%)

8Trojan.Packed.20312246743 (4.62%)

9Trojan.DownLoad.41551231569 (4.33%)

10Trojan.Oficla.38139866 (2.62%)

11Win32.HLLM.Netsky.35328121814 (2.28%)

12Trojan.AVKill.2788103700 (1.94%)

13Win32.HLLM.Beagle98470 (1.84%)

14Trojan.PWS.Panda.11490471 (1.69%)

15W97M.Killer74444 (1.39%)

16Trojan.DownLoader1.1715765832 (1.23%)

17Trojan.PWS.Panda.38749461 (0.93%)

18Trojan.Oficla.7349351 (0.92%)

19Trojan.Oficla.4849342 (0.92%)

20Trojan.Botnetlog.zip41304 (0.77%)

Всего проверено:40,984,945,769

Инфицировано:5,342,395

Вредоносные файлы, обнаруженные в ноябре на компьютерах пользователей

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
При заражении системы программа обходит UAC (защитный функционал Windows), поэтому установка в систему происходит незаметно.

Сам по себе то? :D

uac.gif

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
До создания специальной записи для детекта Trojan.Encoder.88 данная модификация троянца-шифровальщика определялась антивирусом Dr.Web с помощью технологии поиска cовпадений Origins Tracing как Trojan.Encoder.origin.

.88 до своего добавления в базы как .88 вообще никак не определялась. Ориджинами поймалась модификация, отличающаяся от .88 в 2 Кб, которая впоследствии была добавлена как .89.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
При заражении системы программа обходит UAC

О, а DiabloNova уже и скрин да. В общем, реквестую подробностей, что-то здесь не так.

В главной загрузочной записи жесткого диска после заражения появляется код, который загружает информацию с соседних секторов диска. Как следствие — на экран выводятся требования злоумышленников заплатить за разблокировку системы $100.

http://support.kaspersky.ru/viruses/deblocker говорит, что код разблокировки aaaaaaciip ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Lexluthor87
       Из своего личного опыта  могу поделиться следующей информацией. Кто-нибудь знаком с порядком получения микрокредитов в интернете? Я сам множество раз встречал в сети рекламу, типа, мгновенно любую сумму на ваш счет, без поручителей и залога, нужен только паспорт и ИНН...На днях срочно понадобились 3300 дол США  на 5-6 дней, и я начал искать варианты, типа быстроденьги и т.д. Я долго искал именно такой вариант, чтобы минимально переплачивать на процентах. Как я понял, в среднем процентные ставки микрокредитов в 2018 году составляют около 1-3% в день, это в основном зависит от суммы кредита. Но есть и варианты кредитов со ставкой менее 1%!!! Ставки 0,5-0,17% в день!!! Я нашел сам когда залез на https://fin32.com/ua , там куча предложений, пришлось перечитать массу вариантов, но оно того стоило. кому надо - пробуйте)
    • seomasterpro
      Если Ваш сайт работает на WordPress, то рекомендую установить плагин "Anti-Malware Security and Brute-Force Firewall".  Данный плагин является одним из немногих, что способны не только обнаруживать вредоносный код, но и умеют  удалять его. Функции и возможности. Автоматическое устранение известных угроз. Возможность загрузки определений новых угроз по мере их обнаружения. Автоматическое обновление версий TimThumb для устранения уязвимостей. Автоматическая установка обновления WP-login.php, чтобы блокировать атаку brute force. Возможность настроек сканирования. Запуск быстрого сканирования из админ. панели или полное сканирование из настроек плагина. Если Вам нужны рекомендации как пользоваться данным плагином для выявления вредоносных кодов на Вашем сайте, то можете обратиться к спецам от веб-студии на https://seo-master.pro Без регистрации плагин работает только в режиме сканирования. Регистрация плагина позволяет получить доступ к новым определениям «известных угроз» и другим функциям таким, как автоматическое удаление, а также патчи для конкретных уязвимостей , таких как старые версии TimThumb. Обновленные файлы определения могут быть загружены автоматически после того, как только Ваш ключ зарегистрирован. В противном случае, этот плагин просто сканирует на наличие потенциальных угроз и предоставляет Вам самостоятельно определять и удалять вредоносный код.
    • PR55.RP55
      Я с какой целью вам дал ссылку ? Откройте. И, если уж пишите про PC то стоит привести его характеристики. Asus k50c 2008 год; Windows 7; Одноядерный - Celeron 220 с тактовой частотой 1200 МГц; Память: DDR2 - 2ГБ. встроенная видеокарта: SiS Mirage 3+; HDD на 250 ГБ  
    • kostepanych
      А комодо без проблем работает без инета? Можно ли обновлять базы без инета, скачав обновления с официального сайта на другом компе?
      И не будет ли он сильно грузить старый ноут Asus k50c?
    • PR55.RP55
      + Info Software
      Media Lid
      Megabit
      Megabit, OOO
      'LLC' Dort
      "LLC" Dort