Обнаружены атаки на основе «тибетских писем» с использованием Backdoor.Trojan

Обнаружены атаки на основе «тибетских писем» при помощи Backdoor.Trojan

Александр Панасенко 05 Июня 2012 - 08:47

Общее

Symantec

Вредоносные программы

Трояны

Спам

Уязвимости программ

...

Рассылка писем от именисвязанных с Тибетом организаций ведётся с серверов, расположенных на территории России. Заражение компьютера происходит при открытии инфицированного Word-документа, прикреплённого к письму. В ходе реализации атаки злоумышленники используют механизм, скрывающий от пользователей сам факт заражения компьютера. В результате злоумышленники смогут получать ценную информацию с заражённого компьютера и даже осуществлять удалённое управление им.

Используемые при атаке письма написаны по-английски и адресованы американской компании по производству одежды. Несмотря на то, что письма, на первый взгляд, отправлены с адресов организаций, связанных с Тибетом, изучение технических заголовков писем показало, что письма отправлены с почтового сервера на территории Российской Федерации.

Недавно мы обнаружили файл, отличающийся от других вирусных программ тем, что в качестве вектора проведения атаки используется программа известного производителя видеокарт,обладающая цифровой подписью.

Для заражения достаточно открыть вложенный в сообщение инфицированный файл, обеспечивающий эксплуатацию уязвимости CVE-2012-0158, и в случае успеха на компьютер попадают три файла:“NvSmart.exe”, “NvSmartMax.dll” и “boot.ldr”, первый из которых обладает цифровой подписью. Приступая к анализу, специалисты Symantec предположили, что этот файл представляет собой вирус, подписанный украденной цифровой подписью. Однако в ходе дальнейшего анализа выяснилось, что этот файлподлинный.

Обычно, при запуске “NvSmart.exe” происходит подгрузка в память “NvSmartMax.dll” из внешней библиотеки. Однако в данном случае подгружается фальшивая “NvSmartMax.dll”, которая в свою очередь запускает выполнение файла boot.ldr, содержащего вредоносный код.

В прошлом вредоносные программы обычно подменяли подлинный файл на фальшивый, который загружался при старте ОС. Но подмену файла достаточно легко обнаружить. А в данном случае появляется новый легитимный файл известного производителя, и при установке его в систему в реестре для него создаётся соответствующая запись. В результате при старте компьютера запускается корректно установленная программа, обладающая цифровой подписью. И уже она запускает на исполнение подменённый файл “NvSmartMax.dll”, который в свою очередь запускает на исполнение файл boot.ldr, содержащий вредоносный код. При этом фальшивые файлыне регистрируются в качестве служб и не добавляются в реестр, поэтому большинство пользователей не замечают, что при запуске машины выполняется вредоносная программа. Создатели вирусов ищут все новые способы предотвратить обнаружение своих созданий.

Продукты Symantec определяют “NvSmartMax.dll”и “boot.ldr” в качестве вирусов семейства Backdoor.Trojan. Вредоносные программы такого рода обычно занимаются перехватом информации, отправкой её «хозяину» и даже предоставляют возможность удалённого управления компьютером.

Данный метод загрузки вредоносных программ не ограничивается одной лишь программой “NvSmart.exe”, и мы ожидаем применение этой тактики в будущих атаках с использованием и других легитимных файлов.

Компания Symantec продолжает отслеживать появление новых угроз и методов, разрабатываемых злоумышленниками. Специалисты рекомендуют пользователям воздержаться от запуска подозрительных программ, а также не забывать своевременноустанавливать все обновления безопасности для операционных систем и антивирусного программного обеспечения.

Следующая главная новость »

Российские платформы для обмена файлами: что реально работает?
Регистрируйтесь на эфир!

Яков Шпунт 17 Апреля 2026 - 14:59

Соответствие законодательству РФ Общее

Росавиация предложила ограничить использование пауэрбанков на борту

Росавиация рекомендовала Минтрансу законодательно ограничить использование пауэрбанков на борту самолётов во время полёта. Такие предложения появились по итогам расследования инцидента с возгоранием портативного аккумулятора, произошедшего в феврале.

Отчёт о расследовании инцидента на рейсе «Уральских авиалиний» из Екатеринбурга в Стамбул, где в феврале загорелся пауэрбанк и потребовалась вынужденная посадка, оказался в распоряжении «Известий».

Подобные случаи происходили и ранее: только летом 2025 года было зафиксировано два таких инцидента. В документе отмечается, что в России отсутствует полноценная нормативная база, регулирующая провоз портативных аккумуляторов в багаже и ручной клади.

Этот пробел Росавиация предлагает устранить, введя ограничения или даже полный запрет на использование портативных зарядных устройств на борту воздушных судов в течение всего полёта.

Как сообщили в пресс-службе «Уральских авиалиний» в ответ на запрос «Известий», авиакомпания уже внесла соответствующие изменения в правила перевозки. Аналогичные ответы издание получило от S7 и «Аэрофлота». В «Аэрофлоте» также отметили, что приняли нормы, рекомендованные Международной ассоциацией воздушного транспорта (IATA).

Согласно правилам «Уральских авиалиний», такие устройства нельзя заряжать от бортовой сети самолёта и использовать во время полёта. Кроме того, установлены ограничения по содержанию лития — не более 2 г — и по удельной мощности, которая не должна превышать 100 Вт/ч. В рекомендациях IATA также указано, что подобные устройства нельзя хранить в ручной клади, размещённой на багажных полках.

Ограничения на провоз пауэрбанков уже ввели и многие зарубежные авиакомпании. Среди них — Lufthansa Group, AJet, Azal, Emirates, Pegasus, El Al и другие. Такие меры принимались после расследования инцидентов с возгоранием портативных аккумуляторов во время полётов.

«Рано или поздно ограничительные меры придётся принять, поскольку возможная угроза и её последствия могут оказаться совершенно несопоставимыми с теми неудобствами, которые создают запреты, — прокомментировал инициативу Росавиации председатель Общероссийского объединения пассажиров Илья Зотов. — В ряде стран, например в Китае, подобные ограничения на использование портативных аккумуляторов уже действуют. При этом существенного дискомфорта для пассажиров они не создают, поскольку на борту доступны альтернативные способы зарядки, включая розетки и USB-порты. Таким образом, каких-либо серьёзных сложностей для пассажиров не возникает».

Глава Общественной потребительской инициативы Олег Павлов, напротив, назвал запрет избыточной мерой. По его мнению, более разумным решением стало бы ужесточение сертификации таких устройств с обязательным подтверждением их безопасности.

Между тем сама Росавиация позднее уточнила свою позицию по поводу провоза пауэрбанков:

«Ограничения на провоз таких устройств уже существуют — они регламентируются как международными требованиями в области безопасной перевозки опасных грузов по воздуху, так и правилами авиакомпаний».

В ведомстве также подчеркнули, что рекомендации Уральского МТУ, на которые ссылались «Известия», не носят обязательного характера. Оснований для полного запрета портативных аккумуляторов в Росавиации в настоящее время не видят.

Российские платформы для обмена файлами: что реально работает?
Регистрируйтесь на эфир!