AM_Bot

Новый троянец угрожает российским пользователям интернет-банкинга

В этой теме 10 сообщений

7 сентября 2012 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает пользователей о распространении нового троянца, представляющего опасность для пользователей систем дистанционного банковского обслуживания (интернет-банкинга) в России. Троянец изменяет настройки браузеров жертвы таким образом, что в процессе работы с системой «Банк-Клиент» пользовательский трафик направляется через принадлежащий злоумышленникам сервер, что позволяет им воровать важные данные.

Вредоносная программа Trojan.Proxy.23968, образцы которой также добавлялись в вирусные базы Dr.Web под именем Trojan.Carberp.450 в конце августа 2012 года, создана злоумышленниками для установки в инфицированной системе прокси-сервера с целью перехвата конфиденциальной информации при работе с системами дистанционного банковского обслуживания нескольких российских банков.

Запустившись на компьютере жертвы, троянец изменяет параметры сетевого соединения, прописывая в них ссылку на сценарий автоматической настройки. По этой ссылке на инфицированный компьютер загружается файл, с использованием которого соединение зараженного ПК с Интернетом осуществляется через принадлежащий злоумышленникам прокси-сервер. Прокси-сервер, в свою очередь, перенаправляет жертву на поддельную страницу системы «Банк-Клиент», содержащую форму для ввода логина и пароля.

Система «Банк-Клиент» российского банка, который первым подвергся атаке, использует при соединении с пользователем защищенный протокол HTTPS. В целях маскировки сеанса связи с поддельным банковским сервером новый троянец устанавливает в систему самоподписанный цифровой сертификат. Таким образом, страница системы «Банк-Клиент», которую открывает в своем браузере жертва троянца, имеет похожий на оригинальный URL, идентичное с ним оформление, а само соединение осуществляется по зашифрованному протоколу HTTPS. В последнее время специалистами компании «Доктор Веб» были зафиксированы факты установки троянцем новых цифровых сертификатов, а в качестве целей для атак выявлено еще несколько банковских систем.

proxy_450.png

Примечательным фактом является то, что даже после полного удаления Trojan.Proxy.23968 из системы в настройках браузеров остаются внесенные троянцем изменения, поэтому пользователь может стать жертвой злоумышленников даже в том случае, если сам троянец был уничтожен антивирусным ПО. Если вы стали жертвой Trojan.Proxy.23968, специалисты компании «Доктор Веб» рекомендуют провести полную проверку компьютера с использованием лечащей утилиты Dr.Web CureIt!, в которой предусмотрен механизм лечения последствий заражения, а также вручную проверить настройки используемых вами браузеров.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ага, конечно, лечит, только один момент, чтобы лечить, нужно сначала детектить :facepalm:

doctor_first.png

Пруф: https://www.virustotal.com/file/177280655ed...sis/1347216072/

А тем временем, малвара:

doctor_2.png

post-7840-1347284209_thumb.png

post-7840-1347285030_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
\file.ex# - infected with Trojan.Proxy.23968

Не знаю связано ли появление детекта с моим сообщением, но по времени где то в это районе появился детект.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ага, конечно, лечит, только один момент, чтобы лечить, нужно сначала детектить

Analysis date: 2012-09-09 :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А новость 7-го. Но вообще это похоже на то, что был семпл, его задетектили, а потом появился еще, где детект сбит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А новость 7-го. Но вообще это похоже на то, что был семпл, его задетектили, а потом появился еще, где детект сбит.

http://vms.drweb.com/virus/?i=1978872

Добавлен в вирусную базу Dr.Web: 2012-06-21

http://updates.drweb.com/

База drwtoday.vdb (2012-06-21 15:50:05, MD5: 75b977b7d6ab61fa4650f9392b30004f)

Trojan.Proxy.23968(2)

Не верьте VT. Их в процессе совокупления с Гуглем пучит от оргазма.

Не знаю связано ли появление детекта с моим сообщением

Безусловно, связано. Компания "Доктор Веб" с нетерпением ожидает Ваших сообщений, тщательно отслеживая их по всему Интернету. Пишите еще.

UPD: Umnik, знаете, Вы правы. Нашел более 20 семплов перепакованных с разными SHA, причем внутри трой один и тот же. Судя по всему, злодеям очень не нравится наличие детекта :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Поигрался на виртуалке, так и не смог заставить работать лечение настроек прокси. Товарищи из DrWeb - как запустить-то? :facepalm:

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Поигрался на виртуалке, так и не смог заставить работать лечение настроек прокси. Товарищи из DrWeb - как запустить-то? :facepalm:

Я вобще скачал с VirusTotal все самплы, которые Dr.Web так детектит, пробовал каждым из них заражать виртуалку, виртуалка заражается, но лечение не производится.

Исправляйтесь.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вообще, популярный за последнее время тип Банкеров для зоны com.br. Обычно прокси-скрипт находится в теле троянца или скачивается по заложенной в теле ссылке. Скрипты имеют расширение pac.

Просто как пример:

Дроппер

pac-скрипт

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • PR55.RP55
      + Local Internet LTD
      Zawawa Software LLC ( условно\легальный майнер )
      emersontechnology.com
      MARIYA, TOV
      boissytechnology.com
    • PR55.RP55
      Тема:  https://forum.esetnod32.ru/forum6/topic14339/ Дело в том, что задача не отображается в списке, как самостоятельный объект. А  просто является частью записей Хрома. Само собой, что это неправильно.  
    • PR55.RP55
      cmad Если у вас на PC вирус - то вам нужно обратиться на один из специализированных форумов. Так в Случае, если у вас антивирус от: Kaspersky - то на их форум:  https://forum.kasperskyclub.ru/index.php?showforum=26 Dr.Web -то: https://forum.drweb.com/index.php?showforum=35 ESET NOD32: https://forum.esetnod32.ru/forum35/ Это нужно, чтобы удалить вирус и бесплатно расшифровать ваши файлы ( если возможно ).  
    • cmad
      кто нибудь лечился от шифровальщика ?  научите как...
    • djum
      Ну, вообще сейчас полно антивирусов на андроид... Правда не знаю, насколько он функциональны... У меня NOD стоит, поставил его себе потому что на обзорах Гикхакера вроде как один из лучших.. Хотя и каспера вроде хвалят... Но тут уже конечно каждый под себя выбирает, что удобнее и вкуснее лично для него...