Перейти к содержанию
AM_Bot

Троянец охотится на маршрутные компьютеры автомобилей

Recommended Posts

AM_Bot

1 апреля 2012 года

Компания «Доктор Веб» — российский разработчик систем информационной безопасности — информирует пользователей о распространении вредоносной программы Trojan.Vodila.1, способной инфицировать встроенное программное обеспечение автомобильных маршрутных компьютеров, оснащенных процессорами с 16-разрядной архитектурой.

Троянская программа распространяется вместе с zip-архивами, обнаруженными на нескольких автомобильных форумах, и состоит из двух компонентов: дроппера и собственно тела троянца, хранящегося в отдельном файле. Заражение происходит при подключении инфицированного сервисного ПК к диагностическому разъему автомобиля. Дроппер распаковывает Trojan.Vodila.1 и записывает его в свободное адресное пространство встроенной памяти маршрутного компьютера.

Trojan.Vodila.1.png

Получив управление на инфицированном устройстве, Trojan.Vodila.1 перехватывает данные, поступающие от ЭБУ и бортовых датчиков автомобиля. Так, на некоторых типах маршрутных компьютеров троянец способен вызывать нарушения индикации текущего скоростного режима и расхода топлива (при разгоне более 60 км/ч на экране демонстрируется значение 1224 км/ч, соответствующее достижению автомобилем скорости звука, что нередко вводит водителей в заблуждение). Кроме того, если инфицированное устройство оснащено речевым модулем, то вместо стандартного приветствия «счастливого пути!» и голосовой информации о количестве топлива в баке, при начале движения из динамиков доносится озвученное хриплым мужским голосом сообщение «передаем плату за проезд!» и «дверью не хлопай, да?». Помимо этого троянец способен автоматически настраивать автомобильную аудиосистему на волну радио «Шансон», блокируя возможность выбора водителем каких-либо альтернативных каналов.

large_h-cmd7082.png

Trojan.Vodila.1 обладает специальным модулем, позволяющем перехватывать управляющие сигналы в электронном блоке управления и иммобилайзере автомобиля, препятствуя таким образом штатному запуску двигателя. При этом на графический дисплей маршрутного компьютера выводится сообщение: «ваш двигатель заблокирован, для разблокировки отправьте короткое сообщение "Vodila" на номер 1111». Если вы стали жертвой данной вредоносной программы, для разблокировки двигателя следует трижды повернуть ключ в замке зажигания и дунуть в выхлопную трубу. Сигнатура данной угрозы добавлена в вирусные базы Dr.Web. Специальную утилиту для лечения инфицированных маршрутных компьютеров Dr.Web DriveIT! можно приобрести на всех автомобильных заправках.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pomka.

поржал от души с утра :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      В Инфо. указывать не только время создания\изменения файла но и время создания... Пример:  Система Установлена 2018  > Каталог создан в 2020, а файл в каталоге  2021  
    • santy
      как только заработает функция "выполнить запрос по критерию" - все отфильтрованные объекты будут на виду у оператора, и скорее всего, помещены в отдельную категорию. Кстати, всех участников данного форума (помимо проходящих мимо спамеров) поздравляю с Новым 2021 годом!
    • PR55.RP55
      1) Добавить в settings.ini  настройку: "Выделять все неизвестные ЭЦП" Таким образом все ЭЦП которых нет в базе:  wdsl будут на виду. Это  позволит пополнять базу wdsl и сразу акцентировать внимание оператора. 2) Добавить в settings.ini  настройку: Все файлы с неизвестной ЭЦП  помечать, как подозрительные. Или создать отдельную категорию: "Неизвестные ЭЦП" 3) В Инфо. файла помещать информацию типа: Действительна, подписано CAVANAGH NETS LIMITED Найдено файлов: 1 wdsl   [ - ] --------------- Действительна, подписано Mozilla Corporation Найдено файлов: 80 wdsl   [ + ]  
    • PR55.RP55
      1) При срабатывании критерия выделять не всю строку, а только вхождение\результат. Пример: C:\USERS\HOME\APPDATA\ROAMING\MICROSOFT\ADMODNETW4B8\ADNEKMOD8B4.DLL C:\USERS\HOME\APPDATA\ROAMING\MICROSOFT\ADMODNETW4B8\ADNEKMOD8B4.DLL 2) Команду: Архивировать Zoo  добавить и  в меню файла. Если оператор работает с одним файлом - ему не нужно будет метаться по всей программе. Когда группа файлов - тогда, да удобно применить одну команду. Но когда файл один... 3) В Инфо. файла прописывать единственный это файл каталога, или нет. Примерно так: FC:  1 > ADNEKMOD8B4.DLL FC:  5 > Uninstall.exe;  Menu.exe;  MenuDLL.dll;  9z.dll;  Com.bat ; 4) При совпадении пути до файла: PROGRAM FILES ; PROGRAM FILES (X86) с одной из установленных программ. Писать в Инфо.:  C:\PROGRAM FILES (X86)\AIMP3\AIMP3.EXE Программа найдена: C:\Program Files (x86)\AIMP3\Uninstall.exe
    • PR55.RP55
      В связи с переходом угроз для: BIOS\UEFI из теории в реальность... Предлагаю создать отдельную программу для: Копирования\Восстановления; Просмотра; Просмотра info; Передачи на V.T; Расчёта SHA1 Замены прошивки на: https://www.anti-malware.ru/analytics/Market_Analysis/SDZ-MDZ-russia-market-overview и интеграцию с uVS    
×