RSS-лента

 
Новости
Пресс-релизы

Поиск по компаниям

 
Расширенный поиск
Обзоры сети

Архив новостей

 

2002 г
2003 г
2004 г
2005 г
2006 г
2007 г
2008 г
2009 г
2010 г
2011 г
2012 г
2013 г
2014 г
янв фев мар апр
май июн июл авг
сен окт ноя дек

июнь

Пн Вт Ср Чт Пт Сб Вс
1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30







© ICC.  Перепечатка допускается

только с разрешения .

Array ( [sqlTableName] => news [bgColor1] => #FFFFFF [bgColor2] => #F4F8FF [sqlDbName] => SCMS [rus_alphabet] => Array ( [0] => А [1] => Б [2] => В [3] => Г [4] => Д [5] => Е [6] => Ж [7] => З [8] => И [9] => Й [10] => К [11] => Л [12] => М [13] => Н [14] => О [15] => П [16] => Р [17] => С [18] => Т [19] => У [20] => Ф [21] => Х [22] => Ц [23] => Ч [24] => Ш [25] => Щ [26] => Э [27] => Ю [28] => Я ) [ukr_alphabet] => Array ( [0] => І [1] => Є [2] => Ї ) [companies_per_pages] => 100 [meta_keywords] => новости каталог компаний пресс-релизы события выставки [meta_description] => [sqlWhere] => status='A' and id=30882 [sqlOrder] => id desc [sqlLimit] => 0,1 [advert_left] => [template] => /usr/local/apache/newware/templates/news_id.tmpl [template_rubric] => /usr/local/apache/newware/templates/js_menu/menu.tmpl [id] => 30882 [rubrick_pid] => 220103 )

Новости

 

19 июня 2014 г

Обнаружен троянец с функциями антивируса

Специалисты компании «Доктор Веб» завершили исследование сложного многокомпонентного троянца Trojan.Tofsee. Основное назначение этого троянца – рассылка спама, но среди заложенных в него функций есть весьма необычная: один из модулей Trojan.Tofsee предназначен для удаления на инфицированном компьютере других троянцев и вредоносных программ.

Trojan.Tofsee помимо рассылки спама умеет «лечить» систему от других угроз, причем справляется с этой задачей на удивление успешно. Распространяется Trojan.Tofsee несколькими различными способами: с помощью программы Skype, через социальные сети и съемные накопители. В первом случае злоумышленники используют в своих целях классические методы социальной инженерии, а именно, пытаются ввести потенциальную жертву в заблуждение, сообщив ей о том, что в сети якобы опубликованы шокирующие фотографии или видеозаписи с ее участием. Безусловно, такой подход вполне можно назвать «классикой жанра», поскольку он используется распространителями вирусов на протяжении уже многих лет, однако излишне доверчивые люди все равно продолжают попадаться в эту нехитрую западню.

Сообщения пользователям социальных сетей отсылаются с учетом используемого ими национального языка. Например, потенциальным жертвам, говорящим на русском языке, рассылаются сообщения типа: "Хай. Зацени свои интимные фотки :)" или "Ты идиот? Зачем таки? фотки выкладывать в сеть??". В тексте приводится ссылка на страницу, где потенциальная жертва якобы может ознакомиться с компрометирующими ее видеозаписями или фотографиями. Однако для просмотра этого контента пользователю предлагается загрузить плагин для браузера, под видом которого и распространяется Trojan.Tofsee.

Для отправки сообщений на сайты Twitter, Facebook и «ВКонтакте» вредоносный модуль использует данные сессии из файлов cookies браузеров Microsoft Internet Explorer, Mozilla Firefox, Opera, Safari, Google Chrome. В программу Skype сообщения отсылаются с помощью нажатия кнопок в окне самого приложения. Модуль также умеет распознавать защиту captcha на сайте социальной сети Facebook – для этого она отправляется на сервер, где распознается, после чего троянец получает текст для ввода в соответствующую экранную форму.

Другой модуль позволяет троянцу распространяться с помощью съемных флеш-накопителей. Модуль сохраняет исполняемый файл Trojan.Tofsee в Корзине, а в корневой папке съемного накопителя создает файл автозапуска autorun.inf. Заражение выполняется по команде с управляющего сервера. Еще один модуль позволяет осуществлять обновление ядра троянца Trojan.Tofsee с принадлежащего злоумышленникам сервера. Для этого используется специальный конфигурационный файл, содержащий необходимые для выполнения этой процедуры параметры. Если один из параметров не указан, вместо обновления троянец загружает с командного сервера вот такую любопытную картинку:

Однако наибольший интерес представляет модуль, предназначенный для поиска и удаления на инфицированном компьютере всех обнаруженных троянцев и других вредоносных программ (за исключением, разумеется, самого Trojan.Tofsee). Этот плагин может искать на диске файлы по заданному списку, а также записи в системном реестре Windows, перечислять запущенные процессы и удалять обнаруженные опасные файлы. Таким образом, даже если на компьютере жертвы не установлена антивирусная программа, Trojan.Tofsee «заботится» о его безопасности.

Основное назначение Trojan.Tofsee – это рассылка спама, при этом тексты отправляемых писем формируются с помощью специальных шаблонов, которые троянец скачивает с сервера злоумышленников. Функции для работы с сетью и протоколом SMTP реализованы в основном модуле Trojan.Tofsee. После успешного подключения к управляющему серверу тот отсылает троянцу ключи для расшифровки данных. Затем троянец передает на командный сервер данные о себе и получает от него задание, содержащее команды для последующего выполнения. Любопытно, что для создания отправляемых писем троянец использует собственный скриптовый язык, что само по себе является большой редкостью в мире вредоносного ПО.

В настоящий момент Trojan.Tofsee может загружать с удаленных серверов 17 подключаемых модулей, реализованных в виде динамических библиотек. Помимо уже описанных выше, другие модули, которые использует в своей работе Trojan.Tofsee, имеют следующее функциональное назначение:

• модуль для проверки правильности адресов удаленных узлов, передаваемых ему в виде блока конфигурационных данных;

• плагин для реализации DDoS-атак. Способен реализовывать два вида атак: http flood и syn flood;

• модуль, представляющий собой зашифрованный Trojan.PWS.Pony.5;

• модуль для журналирования данных браузера Microsoft Internet Explorer. Извлекает из своего тела и встраивает в процесс браузера библиотеку IEStub.dll, управляется отдельным конфигурационным файлом;

• модуль для работы с графическими файлами, который загружает изображения в специальные структуры для дальнейшей работы других плагинов;

• модуль, который извлекает почтовые адреса из Internet Account Manager и PStoreCreateInstance, формирует адрес отправителя в виде %NAMEPC%@mail.ru и пытается отправить сообщения по созданному списку;

• плагин, загружающий предназначенного для добычи криптовалюты Bitcoin троянца Trojan.BtcMine.148. Он устанавливает Trojan.BtcMine.148 в системе и передает ему необходимые параметры при запуске;

• модуль, который устанавливает в папку system32\drivers\ вредоносную программу Trojan.Siggen.18257 в виде файла со случайным именем и расширением .sys, после чего запускает его;

• модуль, реализующий функции http- и socks5-прокси;

• модуль, предназначенный для формирования и рассылки почтовых сообщений; Использует встроенный скриптовый язык для формирования сообщений и рассылает их по протоколу HTTPS. SSL-шифрование реализовано посредством Microsoft Unified Security Protocol Provider;

• библиотека для перехвата и анализа трафика на низком уровне, использует для этого специальный драйвер. Ищет в потоке данных информацию, передаваемую по протоколам FTP и SMTP, может подменять адреса и тело сообщений;

• плагин, обрабатывающий конфигурационные шаблоны и соответствующим образом формирующий их в памяти;

• модуль, в котором реализован скриптовый язык для создания рассылаемых троянцем писем.

Сигнатуры самой вредоносной программы Trojan.Tofsee, а также всех ее модулей добавлены в вирусные базы Dr.Web, потому данный троянец не представляет угрозы для пользователей.

версия для печати


SMS

 

Сообщите коллегам о последних новостях, пресс-релизах и сведениях из Каталога компаний через наш SMS-гейт.


Смотрите также в рубрике Телекоммуникации

 

11 июля 2014 г

 • Абоненты МТС могут связаться с правительственной горячей линией через короткий номер 111

10 июля 2014 г

 • Новая модель экранированного кабеля от AMP Netconnect (TE connectivity)

9 июля 2014 г

 • Инфраструктура под ключ: Hitachi Unified Compute Platform

8 июля 2014 г

 • НКРЗІ впроваджує радіотехнологію «Цифровий стільниковий радіозв‘язок IMT-2000 (UMTS)»
 • Передай другому: еще один способ распространения фишинговых ссылок

7 июля 2014 г

 • "Яндекс" выяснил, как украинские школьники готовились к ВНО-2014
 • Brandcom – PR-партнер оператора мобильной связи life:)
 • Показатели счетчиков электроэнергии проверяют с помощью мобильной программы

4 июля 2014 г

 • ИТ-директора хотят изучать облака без лишних слов

3 июля 2014 г

 • В I квартале 2014 года украинский рынок СХД сократился втрое
 • «Киевстар» опровергает слухи о захвате базовых станций в Луганске
 • life:) представляет нового директора по поддержке бизнеса
 • ВОЛЯ запустит собственные эксклюзивные телеканалы мирового уровня

2 июля 2014 г

 • Новости 5G: Ericsson передает данные со скоростью 5 Гб/с
 • Microsoft расширяет возможности платежей за программы для Windows
 • Підсумковий документ круглого столу НКРЗІ
 • В Киеве прошел VII Security Innovation Forum 2014
 • BitAudio.com.ua – новый официальный дилер акустики и наушников

1 июля 2014 г

 • «Астерос» развернул систему видео-конференц-связи для оператора «Укртелеком»

27 июня 2014 г

 • Злоумышленники рассылают троянца от имени Amazon

Реклама

 

Рубрики

 


© ITware 2000-2014