Записи с меткой «Швейцария»

 

20 ноября 2012 года

Специалисты компании «Доктор Веб» — российского разработчика средств информационной безопасности — провели анализ одного из плагинов, устанавливаемых на инфицированный компьютер троянцем Trojan.Gapz.1, заражающим Windows по-новому. Результаты исследования показывают, что за плагином скрывается троянец-блокировщик, способный перехватывать изображение с подключенной к зараженному ПК веб-камеры.

Как и в случае с троянцем Trojan.Winlock.7372, о распространении которого мы сообщали ранее, данный блокировщик, добавленный в вирусные базы под именем Trojan.Winlock.7384, не хранит в себе графических изображений и текстов: вместо этого троянец использует для формирования содержимого блокирующего Windows окна файл в формате XML, получаемый с удаленного управляющего сервера.

Запустившись на зараженной машине, Trojan.Winlock.7384 расшифровывает собственный конфигурационный файл, в котором описано, с какими странами и платежными системами работает этот троянец.

В основном это ваучерные системы Ukash, Moneypack и Paysafecard. Затем на основании аппаратной конфигурации ПК вредоносная программа генерирует уникальный идентификационный номер и отправляет его на удаленный командный сервер вместе с другой информацией об инфицированном компьютере. В ответ Trojan.Winlock.7384 получает WHOIS-информацию об IP-адресе зараженного ПК, в которой среди прочего обозначено местоположение жертвы. Получив указанные сведения, троянец сверяет эти данные с хранящимся в своем конфигурационном файле списком стран и блокирует компьютер только в том случае, если инфицированная машина располагается в Канаде, Испании, Германии, Франции, Италии, Португалии, Австрии, Швейцарии, Великобритании, Австралии или США. Выполнив такую проверку, Trojan.Winlock.7384 отправляет новый запрос и получает в ответ подтверждение регистрации бота на управляющем сервере. Наконец, в качестве ответа на последний запрос с командного центра загружается несколько XML-файлов, на основе которых формируется изображение и текст блокирующего окна на соответствующем языке.

screen

Примечательной особенностью данной версии винлока является то, что Trojan.Winlock.7384 способен перехватывать изображение с подключенной к зараженному компьютеру веб-камеры и демонстрировать ее в блокирующем систему окне с целью запугивания пользователя. В тексте сообщения, написанного якобы от имени государственных правоохранительных структур, упоминается о том, что все действия жертвы на данном компьютере записываются, а ее портрет, полученный с помощью веб-камеры, сохраняется для последующей идентификации и получения дополнительной персональной информации.

Для разблокировки компьютера троянец требует ввести код ваучера платежной системы — этот код обычно размещается на чеке, выдаваемом платежным терминалом при внесении какой-либо суммы. Введенный жертвой код передается на принадлежащий злоумышленникам управляющий сервер и проверяется на подлинность. В случае подтверждения факта оплаты управляющий центр отправляет троянцу команду на разблокировку компьютера. Сумма, которую требуют заплатить за эту услугу злоумышленники, составляет 100 евро или 150 долларов США.

screen

Изучение угроз, поступающих в антивирусную лабораторию компании «Доктор Веб» в последнее время, показывает, что злоумышленники понемногу отказываются от создания «традиционных» винлоков с использованием стандартных «конструкторов», прибегая к разработке все более сложных троянцев-блокировщиков с разнообразным функционалом.

ИСТОЧНИК

Реклама

«Лаборатория Касперского» объявляет о результатах
исследования инфраструктуры командных серверов вредоносной программы
Flame, которая, по мнению экспертов, в настоящее время активно
применяется в качестве кибероружия в ряде ближневосточных государств.
Анализ вредоносной программы, показал, что на момент обнаружения Flame
использовалась для осуществления кибершпионажа, а конфиденциальные
данные, украденные с зараженных компьютеров, пересылались на один из
командных серверов.

Совместно с компаниями GoDaddy и OpenDNS эксперты «Лаборатории
Касперского» смогли перехватить управление большинством
вредоносных доменов, используемых командными серверами Flame. В
результате детального анализа полученной таким образом информации,
эксперты пришли к следующим выводам:
* Командные серверы Flame,
действовавшие в течение нескольких лет, были отключены сразу же после
того, как на прошлой неделе «Лаборатория Касперского»
раскрыла существование вредоносной программы.
* На данный момент
известно более 80 доменов, задействовавшихся для передачи данных на
командные серверы Flame, которые были зарегистрированы в период с 2008
по 2012 гг.
* За последние 4 года командные серверы Flame попеременно
располагались в различных странах мира, включая Гонконг, Турцию,
Германию, Польшу, Малайзию, Латвию, Великобританию и Швейцарию.
* Для
регистрации доменов командных серверов Flame использовались фальшивые
регистрационные данные и различные компании-регистраторы, причем данная
активность началась еще в 2008 году.
* Злоумышленников, использующих
Flame для кражи информации, особенно интересовали офисные документы,
файлы PDF и чертежи AutoCAD.
* Данные, загружаемые на командные
серверы Flame, шифровались с использованием относительно простых
алгоритмов. Украденные документы сжимались при помощи библиотеки Zlib с
открытым исходным кодом и модифицированного алгоритма PPDM-сжатия.

* По предварительным данным, 64-разрядная версия операционной системы
Windows 7, которая ранее уже была рекомендована «Лабораторией
Касперского» как одна из самых безопасных, оказалась не подвержена
заражению Flame.

«Лаборатория Касперского» выражает благодарность Уильяму
МакАртуру (William MacArthur), отделу по борьбе с сетевыми
злоупотреблениями регистратора доменных имен GoDaddy, а также группе
OpenDNS Security Research за оперативный отклик и неоценимую помощь в
проведении расследования.

На прошлой неделе «Лаборатория Касперского» связалась с
центрами реагирования на компьютерные угрозы (CERT) во многих странах и
предоставила им сведения о доменах, используемых командными серверами
Flame, и IP-адресах вредоносных серверов. Руководство «Лаборатории
Касперского» выражает благодарность всем тем, кто принимал участие
в расследовании.

Если вы представляете правительственный CERT и хотите получить больше
информации о серверах Flame, пожалуйста, обращайтесь на адрес
theflame@kaspersky.com.

Полный анализ инфраструктуры командных серверов Flame и технические
детали исследования размещены на сайте http://www.securelist.com/ru/blog.