Перейти к содержанию
Сергей Ильин

Троянской программой RpcTonzil заражено не менее 50,000 пользователей социальной сети ВКонтакте

Recommended Posts

Сергей Ильин

Санкт-Петербург, 10 июня 2013 г. – Компания Cezurity, российский разработчик средств защиты от вредоносных программ и хакерских атак, сообщает о том, что в текущий момент характер заражения пользователей социальных сетей троянской программой Trojan.RpcTonzil принимает характер эпидемии.

Так, по оценке вирусной лаборатории Cezurity, сегодня этой вредоносной программой заражено не менее 50,000 участников ВКонтакте. К такому выводу привел анализ данных, получаемых с помощью Cezurity Cloud - облачной технологии антивирусной защиты нового поколения, которая способна обнаруживать подобные угрозы с помощью выявления аномалий в файлах. Большинство антивирусных продуктов способны обнаружить лишь некоторые модификации Trojan.RpcTonzil. Заражению могут быть подвержены компьютеры под управлением операционных систем Microsoft Windows, причем как 32-битных, так и 64-битных.

В результате заражения злоумышленники получают целый ряд возможностей - от получения доступа к аккаунтам в социальной сети и последующей рассылки спама с взломанных страниц до похищения персональных данных пользователей и СМС-мошенничества.

Троянская программа Trojan.RpcTonzil модифицирует запросы компьютеров к DNS-серверу. В результате при попытке зайти в социальную сеть пользователь оказывается на специально созданной злоумышленниками фишинговой web-странице, которая имитирует и практически неотличима от страницы ВКонтакте, где сообщается о том, что аккаунт социальной сети был взломан. Злоумышленники предлагают создать новый пароль и верифицировать привязку своего номера мобильного телефона к аккаунту в социальной сети. Пользователей может обмануть адрес, который отображается в адресной строке браузера - он полностью соответствует правильному и возникает ощущение, что страница действительно принадлежит ВКонтакте.

Троян также блокирует доступ к сайтам большинства антивирусных компаний и серверам обновления Microsoft. Таким образом, у антивирусных лабораторий зачастую нет достаточного количества данных для того, чтобы заметить распространение заражения. Отдельные варианты Trojan.RpcTonzil были обнаружены и детектировались антивирусными компаниями уже с начала марта этого года. Однако, на сегодняшний день распространение Trojan.RpcTonzil продолжается и большинством антивирусов вредоносная программа либо вообще не обнаруживается, либо детектируются лишь некоторые модификации.

Трудность обнаружения всех модификаций Trojan.RpcTonzil связана с тем, что в троянской программе используется достаточно сложная техника сокрытия от антивирусов. При этом на компьютеры жертв троянская программа может попадать различными способами. В некоторых случаях заражение может быть предотвращено встроенными в антивирусы поведенческими механизмами защиты.

"После заражения компьютера троянская программа существует только в зашифрованном виде. Ее расшифровка и автозапуск осуществляется с помощью небольшой модификации системной библиотеки rpcss.dll, - говорит Кирилл Пресняков, ведущий вирусный аналитик Cezurity, - троян использует технику заражения, похожую на метод EPO (Entry Point Obfuscation, скрытая точка входа). Большинство антивирусов не способно детектировать заражение, произведенное таким образом, то есть, не зная вируса "в лицо" - они могут обнаружить этот троян только по поведению. Осложняет детектирование и тот факт, что внедренный в системную библиотеку фрагмент носит условно-случайный характер".

Другим возможным препятствием для обнаружения и лечения вредоносной программы может быть географическая направленность атаки - заражение причиняет вред только пользователям российских социальных сетей.

"Эта троянская программа любопытна не как образец техники заражения - антивирусная индустрия давно знакома с похожими методами - говорит Алексей Чалей, генеральный директор Cezurity, - скорее история распространения трояна хорошо иллюстрирует сложившуюся в антивирусной индустрии ситуацию. Так, вредоносная программа известна уже три месяца, продолжает распространяться, однако, большинством антивирусных продуктов либо вообще не обнаруживается, либо они не способны корректно вылечить компьютер после заражения”.

Компания Cezurity рекомендует пользователям проверить компьютер бесплатным Антивирусным Сканером, который сегодня обнаруживает все известные модификации Trojan.RpcTonzil.

********************

Получается все остальные аверы профукали локальную эпидемию? <_<

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег

Он - http://virusinfo.info/virusdetector/report...75FB78CF4CD4BE6 ? Просто их детект "Trojan.RpcTonzil " мало о чем говорит, но описание весьма похоже ....Так их в том-же VirusDetector кучи приходят от пользователей, больше месяца как поток идет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Так их в том-же VirusDetector кучи приходят от пользователей, больше месяца как поток идет.

Да, на VirusInfo куча людей приходит как раз с такими симптомами, как описано выше. Я тоже сразу подумал, что мы эту эпидемию, если ее можно так называть, видим хорошо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Milord

Эпидемию видели и молчали, не хорошо)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

https://www.virustotal.com/ru/file/2dd40dde...sis/1370934701/

https://www.virustotal.com/ru/file/708243d4...sis/1370934549/

А вот лечить действительно мало кто умеет. Доктор до сих пор системы убивает. Касперский кстати первый кто добавил лечение этого троянца, правда, обзор почему-то не написали.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kolan
Доктор до сих пор системы убивает.

До сих пор? Откуда такая уверенность?

Там пост от середины апреля.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Milord

Касперский справляется, проверено.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Обсуждение компании Cezurity выделено в отдельную верку

http://www.anti-malware.ru/forum/index.php?showtopic=26097

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
B .

Проблема с удалением rpcss.dll давно поправлена уже, не сейте панику. Если использовать актуальную версию CureIT, сканера и свежие базы, никаких проблем не будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      Невозможно добавить файлы каталога в Zoo ( при работе с образом ) если файл отсутствует. Пример: Полное имя                  C:\WINDOWS\REGPOLICY\ATICONTO.EXE
      Имя файла                   ATICONTO.EXE
      Тек. статус                 в автозапуске
                                  
      Сохраненная информация      на момент создания образа
      Статус                      в автозапуске
      Инф. о файле                Не удается найти указанный файл.
      Цифр. подпись               проверка не производилась
                                  
      Ссылки на объект            
      Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\Run\aticonto
      aticonto                    C:\Windows\RegPolicy\aticonto.exe
      ------- т.е. в каталоге есть файлы;  нужно получить их копию. но из контекстного меню невозможно отдать команду:  dirzoo %SystemRoot%\REGPOLICY т.е. отдать то можно - но сама команда в скрипт не прописывается... https://forum.esetnod32.ru/forum3/topic16634/ ---------- + Стоит автоматически добавлять все исполняемые файлы: C:\WINDOWS\REGPOLICY\ в список.  
    • Vadisha_juirm
      Нам нужны адекватные и ответственные парни и девушки для выполнения не сложной, но хорошо оплачиваемой работы. Опыт и образование не требуется.
      Заинтересованы в хорошем заработке? Прошу в телеграм @karabeitm
    • Manuelusema
      Есть нелегальная, но очень доходная работа.
      Если интересно, пишите в telegram @karabeitm
    • MashikTibly
      Нужна работа? Высокий доход! Пиши сюда https://vk.cc/c8cIoF или в телеграм @karabeitm
    • DavdidDuh
      Довольно привлекательные девахи на видео - Порно - большие попки
×