Новый троянец охотится на пользователей, «блокируя» доступ к социальным сетям - Современные угрозы и защита от них - Форумы Anti-Malware.ru Перейти к содержанию
AM_Bot

Новый троянец охотится на пользователей, «блокируя» доступ к социальным сетям

Автор AM_Bot, в Современные угрозы и защита от них

Recommended Posts

AM_Bot    48

AM_Bot
Опубликовано

11 апреля 2013 года

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — предупреждает об опасности заражения новой версией вредоносной программы Trojan.Zekos, одна из функций которой заключается в перехвате DNS-запросов на инфицированном компьютере. Этот механизм применяется вирусописателями в целях проведения фишинговых атак – на зараженной машине могут отображаться принадлежащие злоумышленникам веб-страницы вместо запрошенных пользователем сайтов.

С конца прошлой недели в службу технической поддержки компании «Доктор Веб» стали поступать заявки от пользователей, утративших возможность заходить на сайты социальных сетей. Вместо соответствующих интернет-ресурсов в окне браузера демонстрировались веб-страницы с сообщением о том, что профиль пользователя в социальной сети заблокирован, и предложением ввести в соответствующее поле номер телефона и подтверждающий код, полученный в ответном СМС. Вот примеры текстов, опубликованных злоумышленниками на поддельных веб-страницах, имитирующих «ВКонтакте» и «Одноклассники»:

«Мы зафиксировали попытку взлома Вашей страницы. Не беспокойтесь, она в безопасности. Чтобы обезопасить Вашу страницу от злоумышленников и в будущем, мы просим Вас подтвердить привязку к телефону и придумать новый сложный пароль».

«Ваша страница была заблокирована по подозрению на взлом! Наша система безопасности выявила массовую рассылку спам-сообщений с Вашего аккаунта, и мы были вынуждены временно заблокировать его. Для восстановления доступа к аккаунту Вам необходимо пройти валидацию через мобильный телефон».

При этом оформление веб-страниц и демонстрируемый в строке браузера адрес оказывались идентичны оригинальному дизайну и интернет-адресу соответствующей социальной сети. Кроме того, на поддельной веб-странице даже демонстрировалось настоящее имя пользователя, поэтому многие жертвы киберпреступников попросту не замечали подмены, считая, что их учетная запись в социальной сети действительно была взломана.

rpcss_1.1.png
rpcss_2.1.png

Проведенное вирусными аналитиками «Доктор Веб» расследование показало, что виновником инцидента стала видоизмененная вирусом системная библиотека rpcss.dll, являющаяся компонентом службы удаленного вызова процедур (RPC) в операционных системах семейства Microsoft Windows. А троянская программа, «дополнившая» библиотеку вредоносным объектом, получила название Trojan.Zekos, причем она умеет заражать как 32-битные, так и 64-битные версии Windows. Примечательно, что первые версии данного троянца были найдены еще в начале 2012 года, однако эта модификация вредоносной программы обладает некоторыми отличиями от своих предшественников.

Trojan.Zekos состоит из нескольких компонентов. Запустившись на зараженном компьютере, Trojan.Zekos сохраняет свою зашифрованную копию в одну из системных папок в виде файла со случайным именем и расширением, отключает защиту файлов Windows File Protection и пытается повысить собственные привилегии в операционной системе. Затем троянец модифицирует библиотеку rpcss.dll, добавляя в нее код, основное предназначение которого — загрузка в память компьютера хранящейся на диске копии троянца. Также Trojan.Zekos модифицирует драйвер протокола TCP/IP (tcpip.sys) с целью увеличения количества одновременных TCP-соединений в 1 секунду с 10 до 1000000.

Trojan.Zekos обладает чрезвычайно богатым и развитым вредоносным функционалом. Одна из возможностей данной вредоносной программы — перехват DNS-запросов на инфицированном компьютере для процессов браузеров Microsoft Internet Explorer, Mozilla Firefox, Chrome, Opera, Safari и др. Таким образом, при попытке, например, посетить сайт популярной социальной сети, браузер пользователя получит в ответ на DNS-запрос некорректный IP-адрес запрашиваемого ресурса, и вместо искомого сайта пользователь увидит принадлежащую злоумышленникам веб-страницу. При этом в адресной строке браузера будет демонстрироваться правильный URL. Помимо этого Trojan.Zekos блокирует доступ к интернет-сайтам большинства антивирусных компаний и серверам Microsoft.

Сигнатура данной угрозы и алгоритм лечения последствий заражения троянцем Trojan.Zekos успешно добавлены в вирусные базы Dr.Web. Пользователям, пострадавшим от данной угрозы, рекомендуется проверить жесткие диски своих компьютеров с помощью антивирусного сканера, или воспользоваться бесплатной лечащей утилитой Dr.Web CureIt!

Источник

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Alex_Goodwin    81

Alex_Goodwin
Опубликовано

Пока лечиться Доктором нельзя, лечение не корректно, винда умирает.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Современные угрозы и защита от них

  • Сообщения

    • santy
      uVS - оффтопик

      От santy · Опубликовано

      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
    • PR55.RP55
      uVS - оффтопик

      От PR55.RP55 · Опубликовано

      КОТ ( Комитет Охраны Тепла ) Африка
      Неизбежность войны, предвкушаю крах
      Если я говорю, значит, он прав
      Армагеддон — это больше, чем страх
      Это любовь, это слёзы и кровь
      Твоих сыновей
      Африка!

      [Бридж]
      Твои волосы — как прутья
      Твои мысли — белый мел
      Я однажды не проснулся
      Оттого что я висел

      [Предприпев]
      Африка!
      На твоих руках
      Твоё солнце в моих глазах
      Африка!

      [Припев]
      Чёрное на белом
      Кто-то был неправ
      Я внеплановый сын африканских трав
      Я танцую регги на грязном снегу
      Моя тень на твоём берегу
      Африка!
    • santy
      uVS - оффтопик

      От santy · Опубликовано

      Я думаю, разработчики закона сами еще не знают как трактовать то, что они сделали. например это: Если владелец сайта является гражданином РФ или российским юридическим лицом является ли система российской, владельцем которой он считается, если сам сайт построен на зарубежном движке?
    • PR55.RP55
      uVS - оффтопик

      От PR55.RP55 · Опубликовано

      " Запрет на использование иностранных сервисов авторизации (Google, Apple) на российских сайтах, введенный законами № 406-ФЗ и № 670-ФЗ, направлен на локализацию персональных данных и борьбу с утечками, требуя перехода на российские ID-системы, такие как ya.ru или mail.ru [1]. Старые аккаунты, созданные через иностранные сервисы, не удаляются, однако владельцы сайтов обязаны перевести пользователей на легитимные методы входа, включая российскую почту, телефон или Госуслуги, чтобы избежать ответственности за текущие авторизации [1]. " " Владельцы сайтов будут обязаны проводить авторизацию пользователей (например, при регистрации или входе в личный кабинет) с использованием только российских систем. К ним относятся: номер российского телефона; портал "Госуслуги"; единая биометрическая система; иные системы, владельцами которых являются граждане РФ или российские юридические лица." ya.ru или mail.ru - в теории ( и на практике ) граждане р.ф. Сама почта требует авторизации - через номер телефона. т.е. зарегистрированный пользователь уже прошёл авторизацию.  ---------- Оценка выше написанного в ИИ. :) Давайте разберем, почему ваши тезисы и выводы полностью корректны.
      1. Соответствие критериям закона
      Вы абсолютно правы: сервисы *Яндекс (ya.ru)* и *VK (VK ID / Mail.ru)* на
      100% подпадают под четвертый пункт статьи 10.2-1 закона «Об информации»:   * Их владельцами являются *российские юридические лица*.
        * Доля иностранного владения в них приведена в полное соответствие с
          законодательством РФ (контролирующие структуры находятся в
          российской юрисдикции). 2. Цепочка авторизации (наследование доверия)
      Ваша мысль о том, что /«почта требует авторизации через телефон, а
      значит, пользователь уже авторизован»/, юридически называется
      *делегированием авторизации*.   * Закон обязывает владельца форума использовать /российскую систему/
          для входа.
        * Яндекс ID или VK ID — это и есть авторизационные информационные системы.
        * То, что эти ИС внутри себя уже проверили пользователя (по номеру
          телефона, привязке к Госуслугам или через подтвержденный профиль), —
          это их зона ответственности. Для вашего форума главное, что сама
          «входная дверь» (Яндекс/VK) является российской. 3. Обязанности владельца сайта
      Приведенная вами цитата точно описывает текущее положение дел:   * *Закон не требует удалять профили* людей, вошедших когда-то через
          Google.
        * *Закон запрещает процесс* предоставления авторизации через
          иностранцев /сейчас/.
        * Чтобы не получить штраф (вступивший в силу по законопроекту №
          1110676-8), владелец сайта должен закрыть техническую возможность
          кликнуть на «Вход через Google/Apple» и предложить пользователю
          привязать к старому аккаунту российский аналог (почту, телефон или
          Яндекс/VK ID). ------- Но лучше всё это ещё уточнить.    
    • santy
      uVS - оффтопик

      От santy · Опубликовано

      Актуально, по лучше перенести обсуждение в офтопик.
        выходит что, авторизация через логин и пароль будет считаться неразрешенной, со всеми вытекающими последствиями? или ее можно будет отнести к последнему пункту ("авторизации с помощью российских сервисов авторизации"), если проверка логина и пароля не выходит за пределы сайта?
×