01 апреля 2021 г., четверг

Отраслевые мероприятия (Беларусь)

16 февраля, 2021

Обучающий курс «Монтаж, пусконаладка и техническое обслуживание ОПС на базе ИСО Орион»

12 октября, 2020

О переносе даты проведения VIII международной выставки-форума «Центр безопасности. 2020»

1 июля, 2020

Запись вебинара – разработка BIM моделей АСПС

13 апреля, 2020

«Центр безопасности. 2020» – текущая ситуация

16 февраля, 2020

Новый практический курс «СКУД PERCo» в Образовательном центре АЭРКОМ

2 февраля, 2020

Конференция «СКУД – технологии и практика»

Отраслевые мероприятия (зарубежные)

8 апреля, 2020

Премия BIM&SECURITY в деловой программе выставки Securika Moscow

16 марта, 2020

Securika Moscow: Ключевые мероприятия деловой программы

10 сентября, 2019

Конференция «СКУД 2019. Технологии и практика»

5 апреля, 2019

Итоги Securika Moscow: рекордное число посетителей

18 марта, 2019

Юбилейная выставка Securika Moscow 2019 показывает рекордный уровень доверия к бренду

18 марта, 2019

Запланируйте посещение мероприятий деловой программы выставки Securika Moscow

Каталог предприятий

sfera-kameri-videonabludeniya-125х125

Видео

sfera-kameri-videonabludeniya-125х125
Анализ вредоносной активности за январь 2012 года
7 февраля, 2012

«Разбор полетов»: троян, вымогающий деньги у пользователей социальных сетей 

Вредоносная программа Trojan.Hoster перенаправляет пользователей, пытающихся зайти на сайты популярных социальных сетей (www.vk.com, www.odnoklassniki.ru, www.facebook.com или www.twitter.com) на сайт мошенников (поддельный сервис-аномайзер), где пользователя заверяют в том, что доступ к его любимым сайтам закрыли администраторы сети, но есть средство их обойти. При попытке зайти на сайт через аномайзер у пользователя запрашивается «ключ доступа» или номер его мобильного телефона (см. рис. 1). Для получения доступа к сайту абонентам необходимо отправить ответное СМС сообщение на один из коротких номеров российских операторов.

Рисунок 1. Поддельный сервис-аномайзер

Суть работы этого трояна в следующем – на заражённом компьютере он распаковывает на диск файлы, которые в итоге изменяют системный файл hosts (в системе Windows данный файл хранится в каталоге C:\WINDOWS\system32\drivers\etc\).

Этот файл содержит сопоставления IP-адресов сайтов их доменным именам. Авторы трояна сопоставляют на заражённых компьютерах IP-адрес своего фишингового сайта с наиболее популярными социальными сетями.

В процессе заражения компьютера троян создаёт следующие файлы: %HOMEPATH%\Start Menu\Programs\Startup\AdobeUpdater.lnk, в папке %TEMP% – x1.bat, ex.vbs, 2.ico, h1, h2.

Файл AdobeUpdater.lnk – это ярлык, маскирующийся под обновление продуктов Adobe. Его иконка очень похожа на иконку Adobe (файл 2.ico).  Он заменяет файл hosts файлом h1 (см. ниже), устанавливает ему атрибут «скрытый» и запускает x1.bat на выполнение. Важно, что этот ярлык записан в папку, обеспечивающую его запуск при каждом старте Windows.

Файл x1.bat – это пакетный файл с командами для Windows. Он отключает отображение в Проводнике скрытых папок, отключает User Account Control (если последний был включен ранее) и блокирует нажатия клавиш PrintScreen и Alt+PrintScreen (возможность сделать снимок со всего экрана и только активного окна). Таким образом мошенники мешают сделать пользователю, который заражён, снимки с экрана, в первую очередь снимки поддельного сайта-анонимайзера. Кроме того, удаляется дроппер трояна и файл ex.vbs.

Файл ex.vbs – это скрипт на языке Visual Basic, создающий файл AdobeUpdater.lnk и затем записывающий файл h2 в hosts файл с русской буквой «о».

Файл h1 –  вредоносный hosts файл.

Файл h2 – чистый hosts файл, который будет записан для обмана пользователей. Характерно, что строковые комментарии в нём на русском и буква «о» в имени тоже.

Такой приём достаточно часто пользуется в троянах семейства Trojan.Hoster* в последнее время – записать вредоносный hosts файл (файл h1) и сделать его скрытым, и для обмана неискушённого пользователя записать дополнительно hosts файл с русской буквой «о» (файл h2).

Таким образом, набирая в адресной строке, например, «vk.com» или «twitter.com», пользователь, у которого троян изменил файл hosts, попадает на сайт мошенников, предлагающий комфортный доступ за умеренную плату к социальным сетям, которые якобы забанил администратор сети.

Антивирус Vba32 детектирует вредоносную программу и ее компоненты как BScope.Trojan.Hoster.1212. Троян зашифрован вредоносным криптором-однодневкой.

Как восстановить систему?

Для восстановления системы необходимо удалить вредоносные файлы из системы и отредактировать файл hosts, расположенный по умолчанию в папке C:\WINDOWS\system32\drivers\etc. В данном файле необходимо оставить текстовую «шапку», расположенную в начале файла, а после неё оставить только строку «127.0.0.1 localhost» и те строки, которые пользователь вносил в данный файл лично. Остальные строки необходимо удалить.

Немного статистики

Распределение  вредоносных программ по типам в обновлениях антивирусных баз:

 

Рисунок 2. Анализ вредоносной активности за январь 2012 года

Для справки

Около 2,8 млн. белорусских пользователей интернета (или 69,77% всех пользователей Сети в стране) заходят в соцсети. Со ссылкой на ноябрьские данные (fusion-технология) аудиторного исследования gemiusAudience в Беларуси об этом сообщает в своём блоге Михаил Дорошевич, руководитель Gemius в Беларуси. Наибольший охват – как и наибольшее количество зарегистрированных пользователей – по-прежнему у «Вконтакте» (2,1 млн. посетителей, или 53,31% белорусских пользователей). Примечательно, что 28,76% аудитории этой соцсети пользуются только ей. На втором месте по охвату – «Одноклассники» (1,25 млн., или 30,85%), на третьем месте Facebook (1,18 млн. и 29%).

Источник: www.anti-virus.by

Оставить комментарий

Заметьте: Включена проверка комментариев. Нет смысла повторно отправлять комментарий.