Перейти к содержанию
AM_Bot

Новый троянец угрожает российским пользователям интернет-банкинга

Recommended Posts

AM_Bot

7 сентября 2012 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает пользователей о распространении нового троянца, представляющего опасность для пользователей систем дистанционного банковского обслуживания (интернет-банкинга) в России. Троянец изменяет настройки браузеров жертвы таким образом, что в процессе работы с системой «Банк-Клиент» пользовательский трафик направляется через принадлежащий злоумышленникам сервер, что позволяет им воровать важные данные.

Вредоносная программа Trojan.Proxy.23968, образцы которой также добавлялись в вирусные базы Dr.Web под именем Trojan.Carberp.450 в конце августа 2012 года, создана злоумышленниками для установки в инфицированной системе прокси-сервера с целью перехвата конфиденциальной информации при работе с системами дистанционного банковского обслуживания нескольких российских банков.

Запустившись на компьютере жертвы, троянец изменяет параметры сетевого соединения, прописывая в них ссылку на сценарий автоматической настройки. По этой ссылке на инфицированный компьютер загружается файл, с использованием которого соединение зараженного ПК с Интернетом осуществляется через принадлежащий злоумышленникам прокси-сервер. Прокси-сервер, в свою очередь, перенаправляет жертву на поддельную страницу системы «Банк-Клиент», содержащую форму для ввода логина и пароля.

Система «Банк-Клиент» российского банка, который первым подвергся атаке, использует при соединении с пользователем защищенный протокол HTTPS. В целях маскировки сеанса связи с поддельным банковским сервером новый троянец устанавливает в систему самоподписанный цифровой сертификат. Таким образом, страница системы «Банк-Клиент», которую открывает в своем браузере жертва троянца, имеет похожий на оригинальный URL, идентичное с ним оформление, а само соединение осуществляется по зашифрованному протоколу HTTPS. В последнее время специалистами компании «Доктор Веб» были зафиксированы факты установки троянцем новых цифровых сертификатов, а в качестве целей для атак выявлено еще несколько банковских систем.

proxy_450.png

Примечательным фактом является то, что даже после полного удаления Trojan.Proxy.23968 из системы в настройках браузеров остаются внесенные троянцем изменения, поэтому пользователь может стать жертвой злоумышленников даже в том случае, если сам троянец был уничтожен антивирусным ПО. Если вы стали жертвой Trojan.Proxy.23968, специалисты компании «Доктор Веб» рекомендуют провести полную проверку компьютера с использованием лечащей утилиты Dr.Web CureIt!, в которой предусмотрен механизм лечения последствий заражения, а также вручную проверить настройки используемых вами браузеров.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kopeicev

Ага, конечно, лечит, только один момент, чтобы лечить, нужно сначала детектить :facepalm:

doctor_first.png

Пруф: https://www.virustotal.com/file/177280655ed...sis/1347216072/

А тем временем, малвара:

doctor_2.png

post-7840-1347284209_thumb.png

post-7840-1347285030_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

\file.ex# - infected with Trojan.Proxy.23968

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kopeicev
\file.ex# - infected with Trojan.Proxy.23968

Не знаю связано ли появление детекта с моим сообщением, но по времени где то в это районе появился детект.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
B .
Ага, конечно, лечит, только один момент, чтобы лечить, нужно сначала детектить

Analysis date: 2012-09-09 :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

А новость 7-го. Но вообще это похоже на то, что был семпл, его задетектили, а потом появился еще, где детект сбит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
B .
А новость 7-го. Но вообще это похоже на то, что был семпл, его задетектили, а потом появился еще, где детект сбит.

http://vms.drweb.com/virus/?i=1978872

Добавлен в вирусную базу Dr.Web: 2012-06-21

http://updates.drweb.com/

База drwtoday.vdb (2012-06-21 15:50:05, MD5: 75b977b7d6ab61fa4650f9392b30004f)

Trojan.Proxy.23968(2)

Не верьте VT. Их в процессе совокупления с Гуглем пучит от оргазма.

Не знаю связано ли появление детекта с моим сообщением

Безусловно, связано. Компания "Доктор Веб" с нетерпением ожидает Ваших сообщений, тщательно отслеживая их по всему Интернету. Пишите еще.

UPD: Umnik, знаете, Вы правы. Нашел более 20 семплов перепакованных с разными SHA, причем внутри трой один и тот же. Судя по всему, злодеям очень не нравится наличие детекта :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин

Поигрался на виртуалке, так и не смог заставить работать лечение настроек прокси. Товарищи из DrWeb - как запустить-то? :facepalm:

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kopeicev
Поигрался на виртуалке, так и не смог заставить работать лечение настроек прокси. Товарищи из DrWeb - как запустить-то? :facepalm:

Я вобще скачал с VirusTotal все самплы, которые Dr.Web так детектит, пробовал каждым из них заражать виртуалку, виртуалка заражается, но лечение не производится.

Исправляйтесь.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Вообще, популярный за последнее время тип Банкеров для зоны com.br. Обычно прокси-скрипт находится в теле троянца или скачивается по заложенной в теле ссылке. Скрипты имеют расширение pac.

Просто как пример:

Дроппер

pac-скрипт

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Лукин Вадим
      Попробуйте бесплатную версию антивируса Avast https://biblsoft.ru/windows/security/antivirus/144-avast-free-antivirus . Отлично защищает от вирусов, блокирует рекламу и другие угрозы, которые могут нанести вред вашему ПК. Одна программа вмещает в себе много защитных средств, как по мне, достаточно удобно.
    • SQx
      Приветствую,

      По каким-то причинам uVS не видет(пропускает) WMI записи следующего вида: WMI:subscription\__TimerInstruction->fuckyoumm2_itimer: <==== ATTENTION WMI:subscription\__IntervalTimerInstruction->fuckyoumm2_itimer: <==== ATTENTION возможно ли добавить в новых версиях?

      Предположительно эти записи находятся в следующем файле: C:\Windows\system32\wbem\repository\INDEX.BTR P.S. C этим встретился в одной из тем по лечению.
       
    • Зотов Тимур
      стандартный виндовс защитник не подходит? 
    • ГришаСмернов
      Для начало Вам стоит определиться каким бюджетом вы располагаете. Если Вы думаете, что купите стиральную машинку за 10 тыс., то Вы глубоко заблуждаетесь. Покупка эта не из дешевых. Да и жалеть денег на машинку не стоит, если хотите, чтобы она прослужила Вам долго. Перед тем как идти в магазин, почитайте эту статью https://tehno-rating.ru/591-kak-vybrat-stiralnuyu-mashinu-avtomat.html . Мне она замечательно помогла, когда я мучился со своей покупкой. В итоге руководствуясь дельными советами из этой статьи, купил себе хорошую машинку и даже куда дешевле, чем думал.
    • Лукин Вадим
      Возьмите саму новую модель. И смотрите, что бы объем был больше 
×