Перейти к содержанию
Сергей Ильин

Троянской программой RpcTonzil заражено не менее 50,000 пользователей социальной сети ВКонтакте

Recommended Posts

Сергей Ильин

Санкт-Петербург, 10 июня 2013 г. – Компания Cezurity, российский разработчик средств защиты от вредоносных программ и хакерских атак, сообщает о том, что в текущий момент характер заражения пользователей социальных сетей троянской программой Trojan.RpcTonzil принимает характер эпидемии.

Так, по оценке вирусной лаборатории Cezurity, сегодня этой вредоносной программой заражено не менее 50,000 участников ВКонтакте. К такому выводу привел анализ данных, получаемых с помощью Cezurity Cloud - облачной технологии антивирусной защиты нового поколения, которая способна обнаруживать подобные угрозы с помощью выявления аномалий в файлах. Большинство антивирусных продуктов способны обнаружить лишь некоторые модификации Trojan.RpcTonzil. Заражению могут быть подвержены компьютеры под управлением операционных систем Microsoft Windows, причем как 32-битных, так и 64-битных.

В результате заражения злоумышленники получают целый ряд возможностей - от получения доступа к аккаунтам в социальной сети и последующей рассылки спама с взломанных страниц до похищения персональных данных пользователей и СМС-мошенничества.

Троянская программа Trojan.RpcTonzil модифицирует запросы компьютеров к DNS-серверу. В результате при попытке зайти в социальную сеть пользователь оказывается на специально созданной злоумышленниками фишинговой web-странице, которая имитирует и практически неотличима от страницы ВКонтакте, где сообщается о том, что аккаунт социальной сети был взломан. Злоумышленники предлагают создать новый пароль и верифицировать привязку своего номера мобильного телефона к аккаунту в социальной сети. Пользователей может обмануть адрес, который отображается в адресной строке браузера - он полностью соответствует правильному и возникает ощущение, что страница действительно принадлежит ВКонтакте.

Троян также блокирует доступ к сайтам большинства антивирусных компаний и серверам обновления Microsoft. Таким образом, у антивирусных лабораторий зачастую нет достаточного количества данных для того, чтобы заметить распространение заражения. Отдельные варианты Trojan.RpcTonzil были обнаружены и детектировались антивирусными компаниями уже с начала марта этого года. Однако, на сегодняшний день распространение Trojan.RpcTonzil продолжается и большинством антивирусов вредоносная программа либо вообще не обнаруживается, либо детектируются лишь некоторые модификации.

Трудность обнаружения всех модификаций Trojan.RpcTonzil связана с тем, что в троянской программе используется достаточно сложная техника сокрытия от антивирусов. При этом на компьютеры жертв троянская программа может попадать различными способами. В некоторых случаях заражение может быть предотвращено встроенными в антивирусы поведенческими механизмами защиты.

"После заражения компьютера троянская программа существует только в зашифрованном виде. Ее расшифровка и автозапуск осуществляется с помощью небольшой модификации системной библиотеки rpcss.dll, - говорит Кирилл Пресняков, ведущий вирусный аналитик Cezurity, - троян использует технику заражения, похожую на метод EPO (Entry Point Obfuscation, скрытая точка входа). Большинство антивирусов не способно детектировать заражение, произведенное таким образом, то есть, не зная вируса "в лицо" - они могут обнаружить этот троян только по поведению. Осложняет детектирование и тот факт, что внедренный в системную библиотеку фрагмент носит условно-случайный характер".

Другим возможным препятствием для обнаружения и лечения вредоносной программы может быть географическая направленность атаки - заражение причиняет вред только пользователям российских социальных сетей.

"Эта троянская программа любопытна не как образец техники заражения - антивирусная индустрия давно знакома с похожими методами - говорит Алексей Чалей, генеральный директор Cezurity, - скорее история распространения трояна хорошо иллюстрирует сложившуюся в антивирусной индустрии ситуацию. Так, вредоносная программа известна уже три месяца, продолжает распространяться, однако, большинством антивирусных продуктов либо вообще не обнаруживается, либо они не способны корректно вылечить компьютер после заражения”.

Компания Cezurity рекомендует пользователям проверить компьютер бесплатным Антивирусным Сканером, который сегодня обнаруживает все известные модификации Trojan.RpcTonzil.

********************

Получается все остальные аверы профукали локальную эпидемию? <_<

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег

Он - http://virusinfo.info/virusdetector/report...75FB78CF4CD4BE6 ? Просто их детект "Trojan.RpcTonzil " мало о чем говорит, но описание весьма похоже ....Так их в том-же VirusDetector кучи приходят от пользователей, больше месяца как поток идет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Так их в том-же VirusDetector кучи приходят от пользователей, больше месяца как поток идет.

Да, на VirusInfo куча людей приходит как раз с такими симптомами, как описано выше. Я тоже сразу подумал, что мы эту эпидемию, если ее можно так называть, видим хорошо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Milord

Эпидемию видели и молчали, не хорошо)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

https://www.virustotal.com/ru/file/2dd40dde...sis/1370934701/

https://www.virustotal.com/ru/file/708243d4...sis/1370934549/

А вот лечить действительно мало кто умеет. Доктор до сих пор системы убивает. Касперский кстати первый кто добавил лечение этого троянца, правда, обзор почему-то не написали.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kolan
Доктор до сих пор системы убивает.

До сих пор? Откуда такая уверенность?

Там пост от середины апреля.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Milord

Касперский справляется, проверено.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Обсуждение компании Cezurity выделено в отдельную верку

http://www.anti-malware.ru/forum/index.php?showtopic=26097

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
B .

Проблема с удалением rpcss.dll давно поправлена уже, не сейте панику. Если использовать актуальную версию CureIT, сканера и свежие базы, никаких проблем не будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      1) Тема с WMI http://www.tehnari.ru/f35/t261417/ здесь для ряда объектов: Полное имя                  A3D.DLL
      Имя файла                   A3D.DLL
      Тек. статус                 в автозапуске
                                  
      Сохраненная информация      на момент создания образа
      Статус                      в автозапуске
                                  
      Ссылки на объект            
      Ссылка                      HKLM\Software\Classes\Wow6432Node\CLSID\{442D12A1-2641-11d2-90FB-006008A1F441}\InprocServer32\
                                  
      Ссылка                      HKLM\Software\Classes\Wow6432Node\CLSID\{d8f1eee0-f634-11cf-8700-00a0245d918b}\InprocServer32\
      ------------------------------------ Полное имя                  A3DAPI.DLL
      Имя файла                   A3DAPI.DLL
      Тек. статус                 в автозапуске
                                  
      Сохраненная информация      на момент создания образа
      Статус                      в автозапуске
                                  
      Ссылки на объект            
      Ссылка                      HKLM\Software\Classes\Wow6432Node\CLSID\{92FA2C24-253C-11d2-90FB-006008A1F441}\InprocServer32\
      -------------------------------- Как-то маловато информации Или нет ? 2) Хотелось бы, чтобы в новых версиях uVS присутствовали данные по: alt+d Чтобы не было такого: http://forum.esetnod32.ru/messages/forum6/topic15013/message104717/#message104717  
    • Dpensermeda
      ceap viagra
      viagra for men for sale
      viagra online usa report
      viagra for sale for men
      - cialis half life
      cialis pills side effects positive 1
    • Bladery
      я иногда делаю на заказ ремонт техники, так как я разбираюсь в этом. а вот ваши советы на счет клубов, типа эльдорадо на деньги https://casinout.net/eldorado-na-dengy , это полная ерунда. Нужно думать о реальных возможностях, а не воздушных замках. Поймите же это.
    • Bladery
      я чаще всего использую гугл хром. в нем у меня нормально работают все мои любимые ресурсы. я часто использую брокерские платформы и мне приходится работать с десятками онлайн графиков. Вот с хромом проблем совсем не было, а другие браузеры иногда не отображают те графики, что работают у меня в хром. 
    • xxxzionxxx
      Качественные автомобильные чехлы из экокожи. Заводские лекала. Респектабельный внешний вид. http://autopelt.ru/ 
      Также вступайте в нашу группу где наш менеджер ответит на все интересующие Вас вопросы. https://vk.com/autopelt 
×