Aercom.by - Новости безопасности в Беларуси и СНГ

19 сентября 2017 г., вторник

Отраслевые мероприятия (Беларусь)

8 сентября, 2017

Видео учебно-практического семинара – «Построение интегрированных систем безопасности на основе оборудования и программного обеспечения TRASSIR, SIGUR (ранее «Сфинкс»)»

10 августа, 2017

Образовательный проект для специалистов по безопасности

20 июня, 2017

IDC DAY MINSK 2017: Infrastructure Efficiency, Cloud, Virtualization & IT Security Roadshow

24 мая, 2017

В первый день «Центр безопасности. 2017» более 1000 специалистов посетили выставку-форум

23 мая, 2017

Памятка посетителям и участникам выставки-форума «Центр безопасности 2017»

22 мая, 2017

Выставка-форум «Центр безопасности. 2017»: технологии, диалог, бизнес

Отраслевые мероприятия (зарубежные)

5 сентября, 2017

Охрана периметра – от камер видеонаблюдения до противотаранных барьеров Полищука

22 августа, 2017

Участники выставки Securika St. Petersburg рассказывают о продукции, которую представят на выставке

7 июня, 2017

Итоги форума «CISO FORUM 2017: Суровые будни CISO»

13 февраля, 2017

«Нетрис» стал Генеральным спонсором конференции «Возможности облачных технологий и Интернета вещей для бизнеса»

9 декабря, 2016

Форум директоров по информационной безопасности

23 ноября, 2016

23 ноября открывается Форум All-over-IP 2016: присоединяйтесь к лидерам!

Каталог предприятий

Видео

Журнал "Технологии
безопасности"

Анализ вредоносной активности за январь 2012 года
7 февраля, 2012

«Разбор полетов»: троян, вымогающий деньги у пользователей социальных сетей 

Вредоносная программа Trojan.Hoster перенаправляет пользователей, пытающихся зайти на сайты популярных социальных сетей (www.vk.com, www.odnoklassniki.ru, www.facebook.com или www.twitter.com) на сайт мошенников (поддельный сервис-аномайзер), где пользователя заверяют в том, что доступ к его любимым сайтам закрыли администраторы сети, но есть средство их обойти. При попытке зайти на сайт через аномайзер у пользователя запрашивается «ключ доступа» или номер его мобильного телефона (см. рис. 1). Для получения доступа к сайту абонентам необходимо отправить ответное СМС сообщение на один из коротких номеров российских операторов.

Рисунок 1. Поддельный сервис-аномайзер

Суть работы этого трояна в следующем – на заражённом компьютере он распаковывает на диск файлы, которые в итоге изменяют системный файл hosts (в системе Windows данный файл хранится в каталоге C:\WINDOWS\system32\drivers\etc\).

Этот файл содержит сопоставления IP-адресов сайтов их доменным именам. Авторы трояна сопоставляют на заражённых компьютерах IP-адрес своего фишингового сайта с наиболее популярными социальными сетями.

В процессе заражения компьютера троян создаёт следующие файлы: %HOMEPATH%\Start Menu\Programs\Startup\AdobeUpdater.lnk, в папке %TEMP% – x1.bat, ex.vbs, 2.ico, h1, h2.

Файл AdobeUpdater.lnk – это ярлык, маскирующийся под обновление продуктов Adobe. Его иконка очень похожа на иконку Adobe (файл 2.ico).  Он заменяет файл hosts файлом h1 (см. ниже), устанавливает ему атрибут «скрытый» и запускает x1.bat на выполнение. Важно, что этот ярлык записан в папку, обеспечивающую его запуск при каждом старте Windows.

Файл x1.bat – это пакетный файл с командами для Windows. Он отключает отображение в Проводнике скрытых папок, отключает User Account Control (если последний был включен ранее) и блокирует нажатия клавиш PrintScreen и Alt+PrintScreen (возможность сделать снимок со всего экрана и только активного окна). Таким образом мошенники мешают сделать пользователю, который заражён, снимки с экрана, в первую очередь снимки поддельного сайта-анонимайзера. Кроме того, удаляется дроппер трояна и файл ex.vbs.

Файл ex.vbs – это скрипт на языке Visual Basic, создающий файл AdobeUpdater.lnk и затем записывающий файл h2 в hosts файл с русской буквой «о».

Файл h1 –  вредоносный hosts файл.

Файл h2 – чистый hosts файл, который будет записан для обмана пользователей. Характерно, что строковые комментарии в нём на русском и буква «о» в имени тоже.

Такой приём достаточно часто пользуется в троянах семейства Trojan.Hoster* в последнее время – записать вредоносный hosts файл (файл h1) и сделать его скрытым, и для обмана неискушённого пользователя записать дополнительно hosts файл с русской буквой «о» (файл h2).

Таким образом, набирая в адресной строке, например, «vk.com» или «twitter.com», пользователь, у которого троян изменил файл hosts, попадает на сайт мошенников, предлагающий комфортный доступ за умеренную плату к социальным сетям, которые якобы забанил администратор сети.

Антивирус Vba32 детектирует вредоносную программу и ее компоненты как BScope.Trojan.Hoster.1212. Троян зашифрован вредоносным криптором-однодневкой.

Как восстановить систему?

Для восстановления системы необходимо удалить вредоносные файлы из системы и отредактировать файл hosts, расположенный по умолчанию в папке C:\WINDOWS\system32\drivers\etc. В данном файле необходимо оставить текстовую «шапку», расположенную в начале файла, а после неё оставить только строку «127.0.0.1 localhost» и те строки, которые пользователь вносил в данный файл лично. Остальные строки необходимо удалить.

Немного статистики

Распределение  вредоносных программ по типам в обновлениях антивирусных баз:

 

Рисунок 2. Анализ вредоносной активности за январь 2012 года

Для справки

Около 2,8 млн. белорусских пользователей интернета (или 69,77% всех пользователей Сети в стране) заходят в соцсети. Со ссылкой на ноябрьские данные (fusion-технология) аудиторного исследования gemiusAudience в Беларуси об этом сообщает в своём блоге Михаил Дорошевич, руководитель Gemius в Беларуси. Наибольший охват – как и наибольшее количество зарегистрированных пользователей – по-прежнему у «Вконтакте» (2,1 млн. посетителей, или 53,31% белорусских пользователей). Примечательно, что 28,76% аудитории этой соцсети пользуются только ей. На втором месте по охвату – «Одноклассники» (1,25 млн., или 30,85%), на третьем месте Facebook (1,18 млн. и 29%).

Источник: www.anti-virus.by

Оставить комментарий

Заметьте: Включена проверка комментариев. Нет смысла повторно отправлять комментарий.