Перейти к содержанию
AM_Bot

Новый троянец угрожает российским пользователям интернет-банкинга

Recommended Posts

AM_Bot

7 сентября 2012 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает пользователей о распространении нового троянца, представляющего опасность для пользователей систем дистанционного банковского обслуживания (интернет-банкинга) в России. Троянец изменяет настройки браузеров жертвы таким образом, что в процессе работы с системой «Банк-Клиент» пользовательский трафик направляется через принадлежащий злоумышленникам сервер, что позволяет им воровать важные данные.

Вредоносная программа Trojan.Proxy.23968, образцы которой также добавлялись в вирусные базы Dr.Web под именем Trojan.Carberp.450 в конце августа 2012 года, создана злоумышленниками для установки в инфицированной системе прокси-сервера с целью перехвата конфиденциальной информации при работе с системами дистанционного банковского обслуживания нескольких российских банков.

Запустившись на компьютере жертвы, троянец изменяет параметры сетевого соединения, прописывая в них ссылку на сценарий автоматической настройки. По этой ссылке на инфицированный компьютер загружается файл, с использованием которого соединение зараженного ПК с Интернетом осуществляется через принадлежащий злоумышленникам прокси-сервер. Прокси-сервер, в свою очередь, перенаправляет жертву на поддельную страницу системы «Банк-Клиент», содержащую форму для ввода логина и пароля.

Система «Банк-Клиент» российского банка, который первым подвергся атаке, использует при соединении с пользователем защищенный протокол HTTPS. В целях маскировки сеанса связи с поддельным банковским сервером новый троянец устанавливает в систему самоподписанный цифровой сертификат. Таким образом, страница системы «Банк-Клиент», которую открывает в своем браузере жертва троянца, имеет похожий на оригинальный URL, идентичное с ним оформление, а само соединение осуществляется по зашифрованному протоколу HTTPS. В последнее время специалистами компании «Доктор Веб» были зафиксированы факты установки троянцем новых цифровых сертификатов, а в качестве целей для атак выявлено еще несколько банковских систем.

proxy_450.png

Примечательным фактом является то, что даже после полного удаления Trojan.Proxy.23968 из системы в настройках браузеров остаются внесенные троянцем изменения, поэтому пользователь может стать жертвой злоумышленников даже в том случае, если сам троянец был уничтожен антивирусным ПО. Если вы стали жертвой Trojan.Proxy.23968, специалисты компании «Доктор Веб» рекомендуют провести полную проверку компьютера с использованием лечащей утилиты Dr.Web CureIt!, в которой предусмотрен механизм лечения последствий заражения, а также вручную проверить настройки используемых вами браузеров.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kopeicev

Ага, конечно, лечит, только один момент, чтобы лечить, нужно сначала детектить :facepalm:

doctor_first.png

Пруф: https://www.virustotal.com/file/177280655ed...sis/1347216072/

А тем временем, малвара:

doctor_2.png

post-7840-1347284209_thumb.png

post-7840-1347285030_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

\file.ex# - infected with Trojan.Proxy.23968

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kopeicev
\file.ex# - infected with Trojan.Proxy.23968

Не знаю связано ли появление детекта с моим сообщением, но по времени где то в это районе появился детект.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
B .
Ага, конечно, лечит, только один момент, чтобы лечить, нужно сначала детектить

Analysis date: 2012-09-09 :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

А новость 7-го. Но вообще это похоже на то, что был семпл, его задетектили, а потом появился еще, где детект сбит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
B .
А новость 7-го. Но вообще это похоже на то, что был семпл, его задетектили, а потом появился еще, где детект сбит.

http://vms.drweb.com/virus/?i=1978872

Добавлен в вирусную базу Dr.Web: 2012-06-21

http://updates.drweb.com/

База drwtoday.vdb (2012-06-21 15:50:05, MD5: 75b977b7d6ab61fa4650f9392b30004f)

Trojan.Proxy.23968(2)

Не верьте VT. Их в процессе совокупления с Гуглем пучит от оргазма.

Не знаю связано ли появление детекта с моим сообщением

Безусловно, связано. Компания "Доктор Веб" с нетерпением ожидает Ваших сообщений, тщательно отслеживая их по всему Интернету. Пишите еще.

UPD: Umnik, знаете, Вы правы. Нашел более 20 семплов перепакованных с разными SHA, причем внутри трой один и тот же. Судя по всему, злодеям очень не нравится наличие детекта :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин

Поигрался на виртуалке, так и не смог заставить работать лечение настроек прокси. Товарищи из DrWeb - как запустить-то? :facepalm:

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kopeicev
Поигрался на виртуалке, так и не смог заставить работать лечение настроек прокси. Товарищи из DrWeb - как запустить-то? :facepalm:

Я вобще скачал с VirusTotal все самплы, которые Dr.Web так детектит, пробовал каждым из них заражать виртуалку, виртуалка заражается, но лечение не производится.

Исправляйтесь.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Вообще, популярный за последнее время тип Банкеров для зоны com.br. Обычно прокси-скрипт находится в теле троянца или скачивается по заложенной в теле ссылке. Скрипты имеют расширение pac.

Просто как пример:

Дроппер

pac-скрипт

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      cinquefoil2014 На anti-malware.ru нет раздела по лечению. Обратиться за помощью можно на любой из этих форумов: https://virusinfo.info/forumdisplay.php?f=46 https://forum.kasperskyclub.ru/index.php?showforum=26 http://www.cyberforum.ru/viruses/ https://safezone.cc/forums/viruses/
    • cinquefoil2014
      Подскажите а в каком разделе можно задать вопрос по поводу лечения вируса на сайте?
    • PR55.RP55
      1) По поводу команды: Сбросить атрибуты для все файлов/каталогов в... Это не работает, если не заданы: Группы или пользователи. т.е. нужно проверить не пуст ли список... Если пуст:  прописать пользователя. И только после этого можно сбросить атрибуты... 2) При проверке ЭЦП по F6 ... Если неполадки с сетевым оборудованием, или службами отвечающими за доступ к сети... uvS видит: Сеть есть... и начинает проверять файлы. А по сути сети нет. т.е. здесь нужен таймер.: Если в течении определённого времени нет результата - то проверять ЭЦП локально ( с соответствующей записью в Лог )   Не ждать, как сейчас 100 500 часов. 3)  Проверка занимает излишне много времени в ситуации: Ошибка  [Не удается построить цепочку сертификатов для доверенного корневого центра. ]
      Ошибка  [Цепочка сертификатов обработана, но обработка прервана на корневом сертификате, у которого отсутствует отношение доверия с поставщиком доверия. ] uVS натыкается на такой файл и думает... думает...
    • PR55.RP55
      1) Если оператор применил фильтр  [V]  Известные. То при применении команды: F6   проверять только оставшиеся в списке файлы. Это на порядок ускорит проверку.  Нужно проверить всё ? Сними чек-бокс.  
    • PR55.RP55
      В Инфо. указывать не только время создания\изменения файла но и время создания... Пример:  Система Установлена 2018  > Каталог создан в 2020, а файл в каталоге  2021  
×