Перейти к содержанию
AM_Bot

Новый троянец угрожает российским пользователям интернет-банкинга

Recommended Posts

AM_Bot

7 сентября 2012 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает пользователей о распространении нового троянца, представляющего опасность для пользователей систем дистанционного банковского обслуживания (интернет-банкинга) в России. Троянец изменяет настройки браузеров жертвы таким образом, что в процессе работы с системой «Банк-Клиент» пользовательский трафик направляется через принадлежащий злоумышленникам сервер, что позволяет им воровать важные данные.

Вредоносная программа Trojan.Proxy.23968, образцы которой также добавлялись в вирусные базы Dr.Web под именем Trojan.Carberp.450 в конце августа 2012 года, создана злоумышленниками для установки в инфицированной системе прокси-сервера с целью перехвата конфиденциальной информации при работе с системами дистанционного банковского обслуживания нескольких российских банков.

Запустившись на компьютере жертвы, троянец изменяет параметры сетевого соединения, прописывая в них ссылку на сценарий автоматической настройки. По этой ссылке на инфицированный компьютер загружается файл, с использованием которого соединение зараженного ПК с Интернетом осуществляется через принадлежащий злоумышленникам прокси-сервер. Прокси-сервер, в свою очередь, перенаправляет жертву на поддельную страницу системы «Банк-Клиент», содержащую форму для ввода логина и пароля.

Система «Банк-Клиент» российского банка, который первым подвергся атаке, использует при соединении с пользователем защищенный протокол HTTPS. В целях маскировки сеанса связи с поддельным банковским сервером новый троянец устанавливает в систему самоподписанный цифровой сертификат. Таким образом, страница системы «Банк-Клиент», которую открывает в своем браузере жертва троянца, имеет похожий на оригинальный URL, идентичное с ним оформление, а само соединение осуществляется по зашифрованному протоколу HTTPS. В последнее время специалистами компании «Доктор Веб» были зафиксированы факты установки троянцем новых цифровых сертификатов, а в качестве целей для атак выявлено еще несколько банковских систем.

proxy_450.png

Примечательным фактом является то, что даже после полного удаления Trojan.Proxy.23968 из системы в настройках браузеров остаются внесенные троянцем изменения, поэтому пользователь может стать жертвой злоумышленников даже в том случае, если сам троянец был уничтожен антивирусным ПО. Если вы стали жертвой Trojan.Proxy.23968, специалисты компании «Доктор Веб» рекомендуют провести полную проверку компьютера с использованием лечащей утилиты Dr.Web CureIt!, в которой предусмотрен механизм лечения последствий заражения, а также вручную проверить настройки используемых вами браузеров.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kopeicev

Ага, конечно, лечит, только один момент, чтобы лечить, нужно сначала детектить :facepalm:

doctor_first.png

Пруф: https://www.virustotal.com/file/177280655ed...sis/1347216072/

А тем временем, малвара:

doctor_2.png

post-7840-1347284209_thumb.png

post-7840-1347285030_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

\file.ex# - infected with Trojan.Proxy.23968

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kopeicev
\file.ex# - infected with Trojan.Proxy.23968

Не знаю связано ли появление детекта с моим сообщением, но по времени где то в это районе появился детект.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
B .
Ага, конечно, лечит, только один момент, чтобы лечить, нужно сначала детектить

Analysis date: 2012-09-09 :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

А новость 7-го. Но вообще это похоже на то, что был семпл, его задетектили, а потом появился еще, где детект сбит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
B .
А новость 7-го. Но вообще это похоже на то, что был семпл, его задетектили, а потом появился еще, где детект сбит.

http://vms.drweb.com/virus/?i=1978872

Добавлен в вирусную базу Dr.Web: 2012-06-21

http://updates.drweb.com/

База drwtoday.vdb (2012-06-21 15:50:05, MD5: 75b977b7d6ab61fa4650f9392b30004f)

Trojan.Proxy.23968(2)

Не верьте VT. Их в процессе совокупления с Гуглем пучит от оргазма.

Не знаю связано ли появление детекта с моим сообщением

Безусловно, связано. Компания "Доктор Веб" с нетерпением ожидает Ваших сообщений, тщательно отслеживая их по всему Интернету. Пишите еще.

UPD: Umnik, знаете, Вы правы. Нашел более 20 семплов перепакованных с разными SHA, причем внутри трой один и тот же. Судя по всему, злодеям очень не нравится наличие детекта :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин

Поигрался на виртуалке, так и не смог заставить работать лечение настроек прокси. Товарищи из DrWeb - как запустить-то? :facepalm:

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kopeicev
Поигрался на виртуалке, так и не смог заставить работать лечение настроек прокси. Товарищи из DrWeb - как запустить-то? :facepalm:

Я вобще скачал с VirusTotal все самплы, которые Dr.Web так детектит, пробовал каждым из них заражать виртуалку, виртуалка заражается, но лечение не производится.

Исправляйтесь.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Вообще, популярный за последнее время тип Банкеров для зоны com.br. Обычно прокси-скрипт находится в теле троянца или скачивается по заложенной в теле ссылке. Скрипты имеют расширение pac.

Просто как пример:

Дроппер

pac-скрипт

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • accimeque
      Buy atopex europe online, buy atopex ir


      What can be better than being sure that the drugs you buy are effective and of high quality!


      Top Offers For Atopex - MORE INFORMATION



      We are ready to provide you with all the medications you need to stay healthy and happy!





      Lifeboat skipper, 51, quits the RNLI because 'it is in the grip of political correctness' She the North Bianca Andreescu Joins the Raptors in Canadian Sports Lore 'Wearable chair' that straps to ones backside is dividing social media users after going viral Devastated family tell of heartbreak after father and son die in New South Wales light air crash How to haggle around the world Like eating balls of compressed sawdust Pompeo Calls Attacks on Saudi Arabia atopex Act of War and Seeks Coalition to Counter Iran Breathtaking sound for the posh hi-fi crowd Red Bull Salzburg Gets Its Wings Atopex 100mg lowest prices. Dawid Malan emerges as surprise target for Yorkshire with Middlesex future uncertain 13-Year-Olds Are Arrested Over Hong Kong Protests Man, 25, got a glass thermometer stuck in his bladder Firm advertised huge returns. It won an award in Monaco. The SEC calls it a fraud Jofra Archer is staying cool despite a seismic summer for England's Ashes hero Contraceptive pills may raise the risk of type 2 diabetes
    • Quinzy
      А хотели бы вы научиться рисовать в зрелом возрасте? Многие ведь жалеют, что когда-то их родители не отдали в художку или просто в местности, где жили, не было такой возможности, чтобы учиться рисовать. И вот мне интересно, есть ли у взрослых людей такое желание? Сам я даже университет закончил по специальности преподаватель изобразительного искусства. Но по профессии не работаю, ибо платят мало. Вот прочитал про одну бизнес-идею https://b-mag.ru/hudozhestvennaja-shkola-dlja-vzroslyh-plan-v-6-shagov/ про открытие частной художественной школы для взрослых. Думаете стоит попытать счастье и открыть что-то подобное? 
    • Liza2u
      Тут все зависит от политики компании, есть те что работают на совесть, а есть тем что важна только быстая прибыль, без оглядки на репутацию. Мне как то довелось заказывать синии розы, так я столько намучалась пока не нашла этих ребят flowers.ua/ru/articles/sinie-rozy . Были всегда на созвоне, предупредили что опоздают на пять минут и за это чуть скинули цену, так что впечатления в целом положительные.
      Тут мне кажеться нужно смотреть сколько компания на рынке и искать отзывы. 
    • Quinzy
      Я вам вот что скажу. Когда производитель решает за сколько продавать ту или иную технику, включая компьютер, то он рассчитывает и доходы населения. И если в той же Германии или Финляндии зарплаты 3-4 тысячи евро, то у нас не более 500. И там такой же компьютер будет стоит условные 500 евро, а у нас 100. Ориентация на доходы населения идёт. Понимаете?! Так что, берите лучше у нас. За границей найдете только б\у недорогую технику. И не знаю, как вы ищите, что не можете себе нормальный компьютер найти. Я себе без проблем нашёл хороший мощный компьютер Qbox https://qbox.ua/ua/product/kompyuter-qbox-a0165/ на базе процессора AMD с оперативой DDR4 на 4 GB и жестким на террабайт. Так мне его с лихвой хватает. И на игры, и для работы. 
    • Momo
      Можно, только я не могу найти для себя хороший компьютер для себя.
×