Перейти к содержанию
Сергей Ильин

Троянской программой RpcTonzil заражено не менее 50,000 пользователей социальной сети ВКонтакте

Recommended Posts

Сергей Ильин

Санкт-Петербург, 10 июня 2013 г. – Компания Cezurity, российский разработчик средств защиты от вредоносных программ и хакерских атак, сообщает о том, что в текущий момент характер заражения пользователей социальных сетей троянской программой Trojan.RpcTonzil принимает характер эпидемии.

Так, по оценке вирусной лаборатории Cezurity, сегодня этой вредоносной программой заражено не менее 50,000 участников ВКонтакте. К такому выводу привел анализ данных, получаемых с помощью Cezurity Cloud - облачной технологии антивирусной защиты нового поколения, которая способна обнаруживать подобные угрозы с помощью выявления аномалий в файлах. Большинство антивирусных продуктов способны обнаружить лишь некоторые модификации Trojan.RpcTonzil. Заражению могут быть подвержены компьютеры под управлением операционных систем Microsoft Windows, причем как 32-битных, так и 64-битных.

В результате заражения злоумышленники получают целый ряд возможностей - от получения доступа к аккаунтам в социальной сети и последующей рассылки спама с взломанных страниц до похищения персональных данных пользователей и СМС-мошенничества.

Троянская программа Trojan.RpcTonzil модифицирует запросы компьютеров к DNS-серверу. В результате при попытке зайти в социальную сеть пользователь оказывается на специально созданной злоумышленниками фишинговой web-странице, которая имитирует и практически неотличима от страницы ВКонтакте, где сообщается о том, что аккаунт социальной сети был взломан. Злоумышленники предлагают создать новый пароль и верифицировать привязку своего номера мобильного телефона к аккаунту в социальной сети. Пользователей может обмануть адрес, который отображается в адресной строке браузера - он полностью соответствует правильному и возникает ощущение, что страница действительно принадлежит ВКонтакте.

Троян также блокирует доступ к сайтам большинства антивирусных компаний и серверам обновления Microsoft. Таким образом, у антивирусных лабораторий зачастую нет достаточного количества данных для того, чтобы заметить распространение заражения. Отдельные варианты Trojan.RpcTonzil были обнаружены и детектировались антивирусными компаниями уже с начала марта этого года. Однако, на сегодняшний день распространение Trojan.RpcTonzil продолжается и большинством антивирусов вредоносная программа либо вообще не обнаруживается, либо детектируются лишь некоторые модификации.

Трудность обнаружения всех модификаций Trojan.RpcTonzil связана с тем, что в троянской программе используется достаточно сложная техника сокрытия от антивирусов. При этом на компьютеры жертв троянская программа может попадать различными способами. В некоторых случаях заражение может быть предотвращено встроенными в антивирусы поведенческими механизмами защиты.

"После заражения компьютера троянская программа существует только в зашифрованном виде. Ее расшифровка и автозапуск осуществляется с помощью небольшой модификации системной библиотеки rpcss.dll, - говорит Кирилл Пресняков, ведущий вирусный аналитик Cezurity, - троян использует технику заражения, похожую на метод EPO (Entry Point Obfuscation, скрытая точка входа). Большинство антивирусов не способно детектировать заражение, произведенное таким образом, то есть, не зная вируса "в лицо" - они могут обнаружить этот троян только по поведению. Осложняет детектирование и тот факт, что внедренный в системную библиотеку фрагмент носит условно-случайный характер".

Другим возможным препятствием для обнаружения и лечения вредоносной программы может быть географическая направленность атаки - заражение причиняет вред только пользователям российских социальных сетей.

"Эта троянская программа любопытна не как образец техники заражения - антивирусная индустрия давно знакома с похожими методами - говорит Алексей Чалей, генеральный директор Cezurity, - скорее история распространения трояна хорошо иллюстрирует сложившуюся в антивирусной индустрии ситуацию. Так, вредоносная программа известна уже три месяца, продолжает распространяться, однако, большинством антивирусных продуктов либо вообще не обнаруживается, либо они не способны корректно вылечить компьютер после заражения”.

Компания Cezurity рекомендует пользователям проверить компьютер бесплатным Антивирусным Сканером, который сегодня обнаруживает все известные модификации Trojan.RpcTonzil.

********************

Получается все остальные аверы профукали локальную эпидемию? <_<

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег

Он - http://virusinfo.info/virusdetector/report...75FB78CF4CD4BE6 ? Просто их детект "Trojan.RpcTonzil " мало о чем говорит, но описание весьма похоже ....Так их в том-же VirusDetector кучи приходят от пользователей, больше месяца как поток идет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Так их в том-же VirusDetector кучи приходят от пользователей, больше месяца как поток идет.

Да, на VirusInfo куча людей приходит как раз с такими симптомами, как описано выше. Я тоже сразу подумал, что мы эту эпидемию, если ее можно так называть, видим хорошо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Milord

Эпидемию видели и молчали, не хорошо)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

https://www.virustotal.com/ru/file/2dd40dde...sis/1370934701/

https://www.virustotal.com/ru/file/708243d4...sis/1370934549/

А вот лечить действительно мало кто умеет. Доктор до сих пор системы убивает. Касперский кстати первый кто добавил лечение этого троянца, правда, обзор почему-то не написали.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kolan
Доктор до сих пор системы убивает.

До сих пор? Откуда такая уверенность?

Там пост от середины апреля.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Milord

Касперский справляется, проверено.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Обсуждение компании Cezurity выделено в отдельную верку

http://www.anti-malware.ru/forum/index.php?showtopic=26097

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
B .

Проблема с удалением rpcss.dll давно поправлена уже, не сейте панику. Если использовать актуальную версию CureIT, сканера и свежие базы, никаких проблем не будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×