Банковский троян Lurk распространяется через сайт ammyy.com

Олег Иванов 19 Июля 2016 - 09:17

Малый и средний бизнес

Корпорации

Windows

Eset

Лаборатория Касперского

Безопасность платежей

Безопасность банковских карт

Трояны

Кража данных

...

Банковский троян Lurk распространяется через сайт ammyy.com

Киберпреступники скомпрометировали официальный сайт популярного инструмента удаленного администрирования Ammyy Admin и используют его для распространения банковского трояна Lurk и других вредоносных программ.

Lurk – банковский троян, чьей целью являются российские финансовые структуры и организации. Этот вредонос действует уже на протяжении 5 лет и принес киберпреступникам порядка $45 миллионов, как считают эксперты.

Власти недавно арестовали 50 лиц, подозреваемых в использовании этой вредоносной программы и эти аресты, как полагают, привели к исчезновению набора эксплоитов Angler.

Троян Lurk часто распространялся через скомпрометированные легитимные сайты. Несмотря на то, что во многих случаях злоумышленники рассчитывали на эксплоиты, эксперты обнаружили, что они использовали и легитимное программное обеспечение.

Исследователи Лаборатории Касперского заметили, что у пользователей, ставших жертвой Lurk была установлена программа Ammy. Более детальный анализ показал, что троянец, замаскированный под файл с именем "ammyysvc.exe" был загружен вместе с установщиком Ammyy с официального сайта.

Лаборатория Касперского впервые обнаружила Lurk на сайте Ammyy в феврале 2016 года. Разработчики Ammyy были уведомлены и приняли меры, но злоумышленники либо по-прежнему имели доступ к сайту, либо скомпрометировали его снова. Таким образом, в апреле через этот сайт стала распространяться модифицированная версия Lurk, нацеленная на корпоративные сети.

Разработчики Ammyy опять попытались почистить свой сайт, однако исследователи заметили, что 1 июня через него начал распространяться троян Fareit. После этого разработчики еще раз провели зачистку, но пока непонятно, надолго ли сайт останется чистым.

По словам экспертов, злоумышленники рассчитывают на то, что администраторы ничего не заподозрят, если их системы безопасности обнаружат угрозу, учитывая, что некоторые антивирусы считают Ammyy потенциальной угрозой безопасности.

Также эксперты ESET в ноябре 2015 года обнаружили, что ammyy.com подвергся атаке со стороны кибербанды Buhtrap, которые разместили там пять различных видов вредоносных программ, включая Lurk. Кроме Lurk на сайте были размещены Corebot, Buhtrap, Ranbyus и Netwire RAT. Однако другие исследователи сообщали, что ammyy.com был скомпрометирован с июля 2015.

«Использование легального программного обеспечения в преступных целях является весьма эффективным методом распространения вредоносных программ» - говорит Василий Бердников, аналитик Лаборатории Касперского. «В первую очередь потому, что пользователи доверяют известным разработчикам и известному легальному софту.»

Следующая главная новость »

Реагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!

Екатерина Быстрова 27 Апреля 2026 - 10:28

Вирусы Сетевые черви Трояны Общее

27 лет вирусу Chernobyl: легендарная угроза, заразившая миллионы ПК

27 лет назад, 26 апреля 1999 года, сработал один из самых разрушительных вредоносов эпохи Windows 9x — CIH, также известный как Chernobyl. Его размер составлял всего около 1 КБ, но ущерб оказался огромным: зловред обнулял данные на жёстких дисках и пытался записывать мусорные данные в BIOS материнских плат.

CIH, как вспоминают исследователи, был создан в 1998 году тайваньским студентом Чэнь Инхао из частного университета в Чжуншане.

По разным оценкам, вредоносная программа заразила около 60 млн компьютеров и нанесла ущерб примерно на $40 млн. Прозвище Chernobyl он получил из-за даты срабатывания — 26 апреля, в годовщину аварии на Чернобыльской АЭС.

Одной из особенностей CIH была его скрытность. Вредонос не просто дописывал себя в конец исполняемых файлов, увеличивая их размер, а искал свободные промежутки внутри Windows PE-файлов и распределял свой код по этим «пустотам». В результате заражённые файлы сохраняли прежний размер, что помогало обходить проверки антивирусов того времени.

После запуска CIH повышал свои привилегии до уровня ядра и перехватывал файловые операции. Это позволяло ему незаметно заражать исполняемые файлы, которые открывал пользователь. Вирус работал только на Windows 95, Windows 98 и Windows ME; системы семейства Windows NT были к нему невосприимчивы.

Распространялся CIH в основном через пиратский софт, однако заражённые копии попадали и в легальные каналы. Например, в марте 1999 года часть компьютеров IBM Aptiva поставлялась уже с предустановленным CIH. Также Yamaha распространяла заражённое обновление прошивки для приводов CD-R400, а копии Back Orifice 2000, раздававшиеся на DEF CON 7, тоже содержали вирус.

При активации CIH сначала перезаписывал первый мегабайт загрузочного диска нулями. Это уничтожало таблицу разделов и делало содержимое накопителя недоступным. Затем вирус пытался повредить BIOS, записывая в него некорректные данные. Если атака удавалась, компьютер мог перестать включаться без замены микросхемы.

Несмотря на масштаб последствий, тайваньские прокуроры не смогли предъявить Чэнь Инхао обвинения: по местным законам того времени для этого требовался иск от пострадавших, а таких заявлений не поступило. Сам автор утверждал, что создал CIH как вызов антивирусным компаниям, которые, по его мнению, преувеличивали возможности своих продуктов.

Реагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!