Записи с меткой «служба»

Dr.Web

9 июля 2013 года

21 июня Печерский районный суд города Киева приговорил к пяти годам лишения свободы с отсрочкой на три года организатора и двух участников международной преступной группировки, занимавшейся созданием и распространением вредоносных компьютерных программ семейства Trojan.Carberp в России и на Украине. 19 марта 2013 года деятельность этой группировки была пресечена Службой безопасности Украины в результате спецоперации, проводившейся совместно с ФСБ России. В тот день наручники были надеты на 16 человек, причастных к разработке и распространению одной из опаснейших «банковских» троянских программ последних лет.

Последние два года Trojan.Carberp был настоящим бичом для клиентов дистанционного банковского обслуживания (ДБО) крупнейших российских и украинских банков. Разработанная несколько лет назад в России, эта вредоносная компьютерная программа была центральным элементом мощной преступной инфрастуктуры, созданной для хищения денежных средств как юридических, так и физических лиц. В нее входили разработчики, которые занимались не только совершенствованием самого троянца, но и дополнительных модулей, направленных на атаки против систем ДБО конкретных банков. Несколько тестировщиков следили за корректностью работы троянца параллельно с теми или иными системами ДБО, а также за тем, чтобы новые версии троянца были незаметны для антивирусных программ. Особая роль отводилась системному администратору, в задачу которого, помимо обеспечения безопасного общения членов группы между собой, входило также поддержание рабочей инфраструктуры, обслуживавшей всю ботсеть Trojan.Carberp.

Главари группировки фактически продавали так называемым “партнерам” лицензию на использование троянца и средства управления им (так называемую “админку”). В “админке” накапливалась информация о «зараженных» пользователях, на основе которой принимались решения о “заливах” — то есть о списании денежных средств со счетов жертв на счета так называемых “дропов”, через которые потом деньги либо выводились в подконтрольные преступникам коммерческие фирмы, либо обналичивались. После бесславного конца карьеры одного из “партнеров” группировки — “Гермеса” (он же “Араши”), владельца многомиллионной сети компьютеров-зомби, зараженных троянцем Carberp, арестованного российскими правоохранительными органами в июне 2012 года, интересы главарей группировки стали быстро смещаться из России на Украину. Фактически с августа 2012 года работа против клиентов украинских банков приобрела массовый характер. Кибермошенники, спрятавшись за многочисленными VPN-каналами и используя шифрованные каналы общения, чувствовали себя в полной безопасности, работая против банков той страны, где постоянно находились сами. Не гнушались они и тем, что отслеживали наиболее “интересных” клиентов среди жертв своих “партнеров” и самостоятельно производили хищения с их банковских счетов.

Специалисты антивирусной лаборатории “Доктор Веб” в течение почти двух лет вели кропотливую работу, помогая правоохранительным органам в изобличении преступников. Постоянно исследовались новые образцы опасного троянца, изучались новые векторы атаки злоумышленников. Достаточно сказать, что в настоящее время вирусная база Dr.Web содержит более 1200 разновидностей этой троянской программы. Высокая квалификация специалистов компании позволила разгадать многие инфраструктурные загадки, связанные с Trojan.Carberp, помогла идентифицировать многих участников группировки. Неоднократно специальный отдел “Доктор Веб” взаимодействовал с российскими и украинскими банками с целью предотвращения незаконного вывода похищенных денежных средств.

“В последнее время мы видим усиление притока талантливых молодых программистов в преступную среду, — говорит генеральный директор компании “Доктор Веб” Борис Шаров. — Во многом это объясняется бытующим мнением об относительной безнаказанности тех, кто создает и распространяет вирусы. Кроме того, молодые люди часто становятся жертвами щедрых посулов главарей киберпреступных группировок, соблазняются заманчивыми предложениями, которым на самом деле никогда не суждено сбыться. Все это мы очень наглядно наблюдали в случае с разработчиками Trojan.Carberp. Надеемся, что приговор киевского суда отрезвит многих любителей легкой наживы в киберпространстве. Тем более, что финальный аккорд в этой истории еще не прозвучал, свое слово еще не сказали российские правоохранители, у которых к “карберповцам” едва ли не больше вопросов, чем у их украинских коллег. Киберзло в любых своих формах будет обязательно наказано, мы убеждены в этом”.

Реклама

Новый троянец охотится на пользователей, «блокируя» доступ к социальным сетям

Posted: Апрель 12, 2013 in Антивирус, Вконтакте, Доктор Веб, Новости, Одноклассники, антивирусы, атака, вирусы, компьютеры, лечение, поиск, пользователи, программы, софт, срочно, угрозы, Trojan
Метки:, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — предупреждает об опасности заражения новой версией вредоносной программы Trojan.Zekos, одна из функций которой заключается в перехвате DNS-запросов на инфицированном компьютере. Этот механизм применяется вирусописателями в целях проведения фишинговых атак – на зараженной машине могут отображаться принадлежащие злоумышленникам веб-страницы вместо запрошенных пользователем сайтов.

С конца прошлой недели в службу технической поддержки компании «Доктор Веб» стали поступать заявки от пользователей, утративших возможность заходить на сайты социальных сетей. Вместо соответствующих интернет-ресурсов в окне браузера демонстрировались веб-страницы с сообщением о том, что профиль пользователя в социальной сети заблокирован, и предложением ввести в соответствующее поле номер телефона и подтверждающий код, полученный в ответном СМС. Вот примеры текстов, опубликованных злоумышленниками на поддельных веб-страницах, имитирующих «ВКонтакте» и «Одноклассники»:

«Мы зафиксировали попытку взлома Вашей страницы. Не беспокойтесь, она в безопасности. Чтобы обезопасить Вашу страницу от злоумышленников и в будущем, мы просим Вас подтвердить привязку к телефону и придумать новый сложный пароль».

«Ваша страница была заблокирована по подозрению на взлом! Наша система безопасности выявила массовую рассылку спам-сообщений с Вашего аккаунта, и мы были вынуждены временно заблокировать его. Для восстановления доступа к аккаунту Вам необходимо пройти валидацию через мобильный телефон».

При этом оформление веб-страниц и демонстрируемый в строке браузера адрес оказывались идентичны оригинальному дизайну и интернет-адресу соответствующей социальной сети. Кроме того, на поддельной веб-странице даже демонстрировалось настоящее имя пользователя, поэтому многие жертвы киберпреступников попросту не замечали подмены, считая, что их учетная запись в социальной сети действительно была взломана.

screen

screen

Проведенное вирусными аналитиками «Доктор Веб» расследование показало, что виновником инцидента стала видоизмененная вирусом системная библиотека rpcss.dll, являющаяся компонентом службы удаленного вызова процедур (RPC) в операционных системах семейства Microsoft Windows. А троянская программа, «дополнившая» библиотеку вредоносным объектом, получила название Trojan.Zekos, причем она умеет заражать как 32-битные, так и 64-битные версии Windows. Примечательно, что первые версии данного троянца были найдены еще в начале 2012 года, однако эта модификация вредоносной программы обладает некоторыми отличиями от своих предшественников.

Trojan.Zekos состоит из нескольких компонентов. Запустившись на зараженном компьютере, Trojan.Zekos сохраняет свою зашифрованную копию в одну из системных папок в виде файла со случайным именем и расширением, отключает защиту файлов Windows File Protection и пытается повысить собственные привилегии в операционной системе. Затем троянец модифицирует библиотеку rpcss.dll, добавляя в нее код, основное предназначение которого — загрузка в память компьютера хранящейся на диске копии троянца. Также Trojan.Zekos модифицирует драйвер протокола TCP/IP (tcpip.sys) с целью увеличения количества одновременных TCP-соединений в 1 секунду с 10 до 1000000.

Trojan.Zekos обладает чрезвычайно богатым и развитым вредоносным функционалом. Одна из возможностей данной вредоносной программы — перехват DNS-запросов на инфицированном компьютере для процессов браузеров Microsoft Internet Explorer, Mozilla Firefox, Chrome, Opera, Safari и др. Таким образом, при попытке, например, посетить сайт популярной социальной сети, браузер пользователя получит в ответ на DNS-запрос некорректный IP-адрес запрашиваемого ресурса, и вместо искомого сайта пользователь увидит принадлежащую злоумышленникам веб-страницу. При этом в адресной строке браузера будет демонстрироваться правильный URL. Помимо этого Trojan.Zekos блокирует доступ к интернет-сайтам большинства антивирусных компаний и серверам Microsoft.

Сигнатура данной угрозы и алгоритм лечения последствий заражения троянцем Trojan.Zekos успешно добавлены в вирусные базы Dr.Web. Пользователям, пострадавшим от данной угрозы, рекомендуется проверить жесткие диски своих компьютеров с помощью антивирусного сканера, или воспользоваться бесплатной лечащей утилитой Dr.Web CureIt!

Дорогие друзья и коллеги!

Мы рады представить Вам простую и удобную в использовании информационно-правовую справочную систему по международному праву WWW.VISAWEEK.RU. Наши сервисы — справочный, бизнес-тревел, паспортно-визовой и юридический. Наши возможности позволяют решать задачи, обратившегося к нам Клиента на условиях дистанционного обслуживания.Как это работает? Мы оказываем Клиенту всестороннюю консультационную и методическую помощь по сбору необходимых документов для решения его проблемы. Списки, представленные в разделах нашего сайта собираются клиентом самостоятельно при поддержке и с участием нашего консультанта. Техническая поддержка нашего сайта, позволяет получать необходимые консультации в режиме реального времени, с помощью сервисов Skype и ICQ, а также вы можете задать вопросы по электронной почте, используя онлайн чат. Вы экономите время на поездку к нам в офис, Наши специалисты приедут к Вам и оформлят договор. О готовности заказа свяжутся с Вам и привезут его в любое удобное для вас время и место. Наша служба работает от двери к двери, очень оперативно, практично и удобно для каждого клиента.

На все возникающие в ходе работы с Нами вопросы ответы Вы найдете на страницах нашего сайта — прайс-листы на услуги и контакты.

По вопросам связанным с оплатой прост и доступен платежный сервис Единая касса.

Чтобы получать новости проекта и актуальную информацию о новых возможностях системы WWW.VISAWEEK.RU, а также о готовности заказов пройти несложную процедуру регистрации.

Счастливого рабочего дня,

Команда WWW.VISAWEEK.RU