"Банковский" руткит обходит систему защиты Windows х64

Ксения Ренселаева 01 Июня 2011 - 22:45

...

Обычно под термином «банковский» подразумеваются трояны, нацеленные на кражу данных пользователей, необходимых для проведения платежных транзакций через Интернет. Однако специалисты в области безопасности обнаружили новый образец вредоносной программы, имеющую те же задачи, но способы извлечения информации намного изощренней.

По сути это руткит с задачей перехвата нужных данных. Он активно распространяется среди пользователей систем он-лайн банкинга в Бразилии посредством drive-by download атаки.

По словам исследователя в области безопасности "Лаборатории Касперского" Фабио Ассолини схема атаки достаточно проста. Суть ее заключается в том, что посетители популярных ресурсов перенаправляются на замаскированные под легитимные фишинговые сайты. Однако отличительной особенностью вредоноса является то, что он способен не только изменить конфигурацию процесса загрузки, но и обойти систему защиты операционных систем, имеющих архитектуру x64 и x32.

Для атаки киберпреступники используют Java апплет, который снабжен набором вредоносных кодов; каждый из них имеет определенную задачу. Попадая на компьютер жертвы, посредством неисправленных уязвимостей в среде исполнения Java (JRE) файл "add.reg", отключает защитный механизм контроля аккаунта пользователей (UAC) и добавляет в системный реестр поддельный сертификат "cert_override.txt" с цифровой подписью CA.

Модификация процесса загрузки происходит благодаря файлу "bcdedit.exe". Этот компонент добавляет в папку с легитимными драйверами два новых "plusdriver.sys" и "plusdriver64.sys". При повторной загрузке они активируются и модифицируют файл хоста.

В результате, ничего не подозревающий пользователь, при посещении веб-страниц он-лайн банкинга оказывается на поддельном веб-сайте. При этом даже соединение осуществляется по якобы защищенному протоколу Https, о чем свидетельствует появившееся изображение.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 07 Октября 2025 - 20:17

Малый и средний бизнес Корпорации Резервного копирования данных Системы защиты данных от потери Системы резервного копирования и восстановление данных

Вышла RuBackup 2.7: поддержка OpenStack, SIEM и Deckhouse Stronghold

Компания «РуБэкап» (входит в «Группу Астра») выпустила новую версию платформы резервного копирования и восстановления данных RuBackup 2.7. Обновление направлено на повышение эффективности и безопасности процессов управления данными, а также соответствует требованиям российского рынка к импортозамещению и защите информации.

Среди ключевых изменений — улучшенная дедупликация при записи резервных копий на специализированные системы хранения и интеграция с SIEM-системами для мониторинга событий безопасности. Появилась поддержка хранилища секретов Deckhouse Stronghold.

Одним из заметных новшеств стала возможность восстанавливать данные напрямую из резервной копии, без использования промежуточного хранилища — это ускоряет процесс восстановления после сбоев.

RuBackup 2.7 также расширяет поддержку виртуализации: добавлены модули для работы с OpenStack и SpaceVM 6.5.5. Для баз данных Oracle реализовано восстановление на заданную точку времени — такая же функция теперь доступна и для Tucana и RBM. Обновлён интерфейс выбора объектов резервного копирования: пользователи могут выделять сразу несколько директорий и файлов.

Обновление уже доступно для текущих клиентов и может быть установлено в существующей ИТ-инфраструктуре.