AM_Bot

Новый троянец угрожает российским пользователям интернет-банкинга

В этой теме 10 сообщений

7 сентября 2012 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает пользователей о распространении нового троянца, представляющего опасность для пользователей систем дистанционного банковского обслуживания (интернет-банкинга) в России. Троянец изменяет настройки браузеров жертвы таким образом, что в процессе работы с системой «Банк-Клиент» пользовательский трафик направляется через принадлежащий злоумышленникам сервер, что позволяет им воровать важные данные.

Вредоносная программа Trojan.Proxy.23968, образцы которой также добавлялись в вирусные базы Dr.Web под именем Trojan.Carberp.450 в конце августа 2012 года, создана злоумышленниками для установки в инфицированной системе прокси-сервера с целью перехвата конфиденциальной информации при работе с системами дистанционного банковского обслуживания нескольких российских банков.

Запустившись на компьютере жертвы, троянец изменяет параметры сетевого соединения, прописывая в них ссылку на сценарий автоматической настройки. По этой ссылке на инфицированный компьютер загружается файл, с использованием которого соединение зараженного ПК с Интернетом осуществляется через принадлежащий злоумышленникам прокси-сервер. Прокси-сервер, в свою очередь, перенаправляет жертву на поддельную страницу системы «Банк-Клиент», содержащую форму для ввода логина и пароля.

Система «Банк-Клиент» российского банка, который первым подвергся атаке, использует при соединении с пользователем защищенный протокол HTTPS. В целях маскировки сеанса связи с поддельным банковским сервером новый троянец устанавливает в систему самоподписанный цифровой сертификат. Таким образом, страница системы «Банк-Клиент», которую открывает в своем браузере жертва троянца, имеет похожий на оригинальный URL, идентичное с ним оформление, а само соединение осуществляется по зашифрованному протоколу HTTPS. В последнее время специалистами компании «Доктор Веб» были зафиксированы факты установки троянцем новых цифровых сертификатов, а в качестве целей для атак выявлено еще несколько банковских систем.

proxy_450.png

Примечательным фактом является то, что даже после полного удаления Trojan.Proxy.23968 из системы в настройках браузеров остаются внесенные троянцем изменения, поэтому пользователь может стать жертвой злоумышленников даже в том случае, если сам троянец был уничтожен антивирусным ПО. Если вы стали жертвой Trojan.Proxy.23968, специалисты компании «Доктор Веб» рекомендуют провести полную проверку компьютера с использованием лечащей утилиты Dr.Web CureIt!, в которой предусмотрен механизм лечения последствий заражения, а также вручную проверить настройки используемых вами браузеров.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ага, конечно, лечит, только один момент, чтобы лечить, нужно сначала детектить :facepalm:

doctor_first.png

Пруф: https://www.virustotal.com/file/177280655ed...sis/1347216072/

А тем временем, малвара:

doctor_2.png

post-7840-1347284209_thumb.png

post-7840-1347285030_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
\file.ex# - infected with Trojan.Proxy.23968

Не знаю связано ли появление детекта с моим сообщением, но по времени где то в это районе появился детект.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ага, конечно, лечит, только один момент, чтобы лечить, нужно сначала детектить

Analysis date: 2012-09-09 :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А новость 7-го. Но вообще это похоже на то, что был семпл, его задетектили, а потом появился еще, где детект сбит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А новость 7-го. Но вообще это похоже на то, что был семпл, его задетектили, а потом появился еще, где детект сбит.

http://vms.drweb.com/virus/?i=1978872

Добавлен в вирусную базу Dr.Web: 2012-06-21

http://updates.drweb.com/

База drwtoday.vdb (2012-06-21 15:50:05, MD5: 75b977b7d6ab61fa4650f9392b30004f)

Trojan.Proxy.23968(2)

Не верьте VT. Их в процессе совокупления с Гуглем пучит от оргазма.

Не знаю связано ли появление детекта с моим сообщением

Безусловно, связано. Компания "Доктор Веб" с нетерпением ожидает Ваших сообщений, тщательно отслеживая их по всему Интернету. Пишите еще.

UPD: Umnik, знаете, Вы правы. Нашел более 20 семплов перепакованных с разными SHA, причем внутри трой один и тот же. Судя по всему, злодеям очень не нравится наличие детекта :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Поигрался на виртуалке, так и не смог заставить работать лечение настроек прокси. Товарищи из DrWeb - как запустить-то? :facepalm:

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Поигрался на виртуалке, так и не смог заставить работать лечение настроек прокси. Товарищи из DrWeb - как запустить-то? :facepalm:

Я вобще скачал с VirusTotal все самплы, которые Dr.Web так детектит, пробовал каждым из них заражать виртуалку, виртуалка заражается, но лечение не производится.

Исправляйтесь.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вообще, популярный за последнее время тип Банкеров для зоны com.br. Обычно прокси-скрипт находится в теле троянца или скачивается по заложенной в теле ссылке. Скрипты имеют расширение pac.

Просто как пример:

Дроппер

pac-скрипт

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Лола
      Я сижу с прокси-сервером https://advanced.name/.../u5 При помощи такого быстрого прокси-сервера страницы стали загружаться с одного клика, а заблокированные сайты стали доступными.
    • PR55.RP55
      1) Чаще всего такое сообщение появляется, если не верно установлено системное время. Если на PC 2025 год то самые актуальные обновления будут устаревшими. 2) Malwarebytes при наличие в системе антивируса _нужно устанавливать в режиме сканера. т.е. с отключённой защитой в реальном времени - во избежание конфликта. ---------- Форум: anti-malware.ru практически склеил ласты. Хотите получить ответ пишите на:  comss.ru
    • ratus
      Доброго времени суток! У меня следующая проблема. На информационной панели malwarebytes Следующие сообщение: "Ваши обновления не являются актуальными", При этом, с интернетом все в порядке Не помогает и обновление при помощи скаченных в ручную баз. Я подозреваю, что это могло произойти из-за установки антивируса поверх уже существующего. Но после последнего описанного события я переустановил программу корректно. Может причина в том, что антивирус не обновлен до premium версии.  
    • AM_Bot
      Алексей Андрияшин, технический директор Fortinet в России, поделился своим взглядом на тенденции информационной безопасности, а также рассказал, как защищать организацию с помощью экосистемы Fortinet. Читать далее
    • Ego Dekker
      Антивирусы были обновлены до версии 10.1.245.1.