"Лаборатория Касперского" обнаружила банковский руткит для 64-битных систем

image

Теги: Лаборатория Касперского, руткит, вредоносное ПО

"Лаборатория Касперского" обнаружила первый банковский руткит, предназначенный для 64-разрядных систем. Он распространялся в ходе drive-by атаки, организованной бразильскими киберпреступниками.

"Лаборатория Касперского" обнаружила первый банковский руткит, предназначенный для 64-разрядных систем. Он распространялся в ходе drive-by атаки, организованной бразильскими киберпреступниками.

"Мы обнаружили вредоносный Java-апплет, внедренный в популярный бразильский веб-сайт. В ходе атаки вредоносный апплет обеспечивал заражение пользователей, использующих старые версии JRE (Java Runtime Environment), независимо от того, какая версия системы у них установлена — 32- или 64-разрядная", - говорят в антивирусной компании.

Апплет содержит несколько интересных файлов: 


Схема вредоносной атаки простая, но интересная. Файл add.reg отключает контроль учетных записей пользователя (UAC) и изменяет реестр Windows, добавляя на зараженной машине фальшивые центры сертификации (CA — Certification Authorities). Эта схема регистрации вредоносных центров сертификации в зараженной системе применяется бразильскими киберпреступниками с прошлого года.

Файл cert_override.txt представляет собой поддельный цифровой сертификат, подписанный одним из таких несуществующих центров сертификации, зарегистрированных в системе вредоносным Java-апплетом. Основная цель атаки — перенаправить пользователя на домен, используемый для фишинговых атак. Поддельный сайт выдает страницу, которая выдается за реальную страницу банка и на которой присутствует пиктограмма https-соединения.

Файл aaa.bat выполняется и запускает на исполнение файл bcdedit.exe — легитимную утилиту, созданную компанией Microsoft для редактирования загрузочной конфигурации Windows Vista и более поздних версий Windows. Использование этой утилиты с соответствующими параметрами, такими как “DISABLE_INTEGRITY_CHECKS”, “TESTSIGNING ON” и “type= kernel start= boot error= normal” позволяет скопировать файлы plusdriver.sys и plusdriver64.sys в папку драйверов и зарегистрировать их в качестве активных драйверов при следующей перезагрузке. Данная схема дает возможность запустить вредоносный драйвер без легитимной цифровой подписи.

После регистрации в системе вредоносные драйверы выполняют несколько команд: изменяют файл hosts, добавляя переадресацию на фишинговый домен, а также удаляют несколько файлов, необходимых для работы плагина безопасности, используемого бразильскими банками.


или введите имя

CAPTCHA
rus
30-05-2011 01:30:43
супер молодцы я тут в нескольких комментах видел как народ хвалился что они без антивиря сидят на виндозах уже много лет и у них всё чисто значит они или врут или полнае ллллллллоооооооххххххххииииииииииии
0 |
Белая аномалия
30-05-2011 04:47:50
У меня нет антивирусной программы. Сижу уже на W'индус давно. С административными правами. Вирусов нет. Я установил две копии W'индус (в С и в D) В C винда для работы и важных дел. Во D заблокировал доступ к тому С. С тома "C" в Интернет выхожу исключительно по делу, только на нужные мне web-страницы. Установлен весь нужный мне софт. Установленную в "D" юзаю везде где пожелаю, но никогда по важному делу. Установлено только самое необходимое: драйвера, пара браузеров, KMP, Winamp и прочий софт. Последние годы использую проги из образа ZVER'я (удобнее устанавливать). Из диска "D" периодически переустанавливаю - от 3 до 30 дней держится. Даже не активирую. Перед сносом качаю триаловскую AV программу и смотрю что имею на диске. C всегда чистый . я тут в нескольких комментах видел как народ хвалился что они без антивиря сидят на виндозах уже много лет и у них всё чисто значит они или врут или полнае ллллллллоооооооххххххххииииииииииии Есть не лохи. Есть просто умные, без обширных знаний в области ИТ.
0 |
Доктор
30-05-2011 06:09:27
Есть не лохи. Есть просто умные, без обширных знаний в области ИТЕще один изобретатель велосипеда с, даже не квадратными, а наверное с трапециовидными калесами.
0 |
Белая аномалия
30-05-2011 06:41:33
Думай (если способен) что хочешь, но система летает, неудобств с учётной записью "Гость" нет, вредоносных программ нет.
0 |
Кир
30-05-2011 11:47:36
К сожалению, Вы не знаете, что происходит на уровне ядра операционной системы и никогда не будете занть. Это минус любой пропиетарной системы. Антивирус на Windows ставить необходимо, так же как и фаерволл стороннего разработчика. Софт, насколько я понимаю Вы ставите "пропаченный". Каждый хакер, который пишет такое обновление, ставит закладку. Куда будет светить сокет, открытый этой закладкой, никому неведомо, кроме самого хакера. Изучите UNIX, изучите вопросы безопасности, и забудте о ежеквартальном сносе ОС.
0 |
Гость
30-05-2011 13:01:53
А вы заодно изучите, что сокетов нет в природе. Порт и сокет - это фикция. "Открытые сокеты", кстати, очень легко отследить Изучите системное программирование и ассемблер))) Тогда поймете, что настоящие хакеры ваши вопросы безопасности на *** вертели... Заодно зарубите себе, что НЕТ антивируса, который Вас обезопасит. У меня тоже последние лет 5 нет антивиря на Винде. Зато, как админ, перевидел тоны компов с антивирями, которые были выключены (введены в заблуждение) всякой заразой. Да, и я не уверен, что Вы тоже представляете что творится в ядре вашей опен-сорс ОС.
0 |
Кир
30-05-2011 13:49:45
Согласен, такого антивируса НЕТ. Уязвимости есть в любой операционной системе. Атаки проходят как на уровне ядра, так и на уровне приложений, по-этому атаковать Windows легче, чем UNIX. Сокеты существуют, посмотрите опсание операционных систем. Это базовые термины, которые проходят в школе. Ядро скачиваю с кернел.орг и собираю. Да, тоже риски, но значительно меньшие, чем получать бинарник от монстров.
0 |
Гость
30-05-2011 14:33:44
НЕТ сокетов!!! Просто НЕТ!!! их. Это программистская затычка для организации обработки информации: можно все поступающее сваливать в одну кучу, а потом по "форме" или "содержанию" пытаться угадать что это и для кого, т.е. если, скажем Вы с многоканального телефона кому-то позвоните, то перезвонив назад человек попадет к кому угодно. НО, тут появляется "добавочный номер" - это и есть Ваши сокеты. Только в случае с компами, ВСЕ пакеты приходят на 1 интерфейс, но каждый маркируется номером сокета, чтобы их можно было направить в нужный сервис. Атаки проводятся не на уровне ядра, а на уровне ошибок любой конкретной программы (ядро тоже программа). А Винду атаковать легче ИМХО, потому, что многие баги там "предусмотрены" для кое-кого.
0 |
Кир
30-05-2011 16:39:21
Ну, конечно нет. Их придумали колдуны, что-бы запутать честных граждан. И ядро - это программа. Я вам, даже больше скажу, фирмваре - это тоже программа. Вы самое главное не беспокойтесь. А то можно на нервы изойти. Термин сокет, в данном контексте, я употребил для определения канала, по которому утекает информация, потому как локальная и сетевая структура в операционной системе разделены на две подсистемы. И что-бы утащить файлик вам потребуется сетевой канал. А сокет - это адрес-порт-сервис между хостами. Про локальные я говорить сейчас не буду. Без этой штуки Вы за этим файликом к атакуемой машине с флешкой пойдете.
0 |
VXBeginner
31-05-2011 13:31:31
Смотря что вы подразумеваете под словом "существует". Сокет - не более чем способ абстракции от оборудования. Существует определенная структура данных связанная с определенным соединением. Это да. "А сокет - это адрес-порт-сервис между хостами". Это как понимать? Вопрос вообще не имеет смысла. Кому интересно http://msdn.microsoft.com/en-us/library/ff571083%28v=VS.85%29.aspx. Делайте выводы сами.
0 |
мимо почитал
01-06-2011 05:19:52
Шах и мат.
0 |
Белая аномалия
30-05-2011 13:52:15
Софт, насколько я понимаю Вы ставите "пропаченный".Если вы об "не рабочем" то нет. Я себе такого не позволяю. Деньги позволяют ставить то что хочу избегая всяких кракеров, хакеров и прочих подобных лиц. Несколько раз пробовал ради эксперимента. Но н-нет... Я так не могу. Из образа ZVER FF Mozilla, KMP и некоторые прочие я ставлю только по той причине что W'индус сношу часто и для упрощения установки ставлю их (одним кликом), только в D. Из "зверского" софта только freeware. Антивирус на Windows ставить необходимо, так же как и фаерволл стороннего разработчика. Файвол есть. Рабочая, и сейчас не скажу что летает (Office 2003 засрал реестр, файрволл тож подтормаживает, + ещё парочка прог замедляет), а ещё и антивирусную программу ставить??? О_О. Не удивлюсь если вы посоветуете KIS. Сколько мне за работу платят в прямой зависимости от того сколько делаю. Если система работает медленно это мне только хуже - одни убытки. изучите вопросы безопасностиБыли бы вы экспертом по вопросам безопасности... Эксперты дают реальные советы; которкие и ясные. Если никакой конкретики в словах эксперта нет то это не эксперт. И как следствие - вывод: обратив на ваши слова внимание я не буду вас слушать. Вы не эксперт. и забудте о ежеквартальном сносе ОС.Это меня всё равно не напрягает. Один раз в 15-20 дней (чаще всего так) снести и поставить с несколько программ это мелочи. Это минус любой пропиетарной системы.Но в случае с XP хлопот с поиском софта нет. С прочими напряжнее.
0 |
Кир
30-05-2011 14:24:53
Да, вы правы, я - тролль. Достаточно толстый и некомпетентный. Только я специалистов на работу набираю. И знаю философию и подходы юниксовых и виндовых админов. Они диаметрально противоположные. Собственно я Вам это и продемонстрировал. Не сердитесь. Удачи.
0 |
VXBeginner
31-05-2011 13:39:02
Ну ну... Такая юзермодная "закладка" будет спалена самым **евым фаером в 2 счета. )
0 |
Кир
31-05-2011 13:56:14
Ага, исходящий - высокий, таргет - 80, приложение Windows\Program Files\Foksofair\firefox.exe с картинкой в виде лисички. Вы непроизвольно сами разрешите фаерволу пропускать, даже навороченному. Поколение тыкольщиков, от этого никуда не денешься.
0 |
VXBeginner
31-05-2011 13:06:01
А из чего собственно вы делаете вывод что комп чистый? Ну проверите ключи,соединения сетевые... Все это еще ничего не значит. Против качественного руткита такая "заshitа" ничего не даст. Избежать заражения в наши может может лишь полностью автономный компьютер.
0 |
boss
30-05-2011 16:24:17
мне вас искренне жаль так ка вы стали жертвой низкого уровня образованности в области IT технологий ZVER был создан группой хакеров с целью создания бот сетей и распространению всякой заразы и к стати с winlogon.exe и explorer.exe идут с троянцем на борту коню понятно с вашим компом делали эти ребята поставь хоть раз aviru и ты увидете какой ужас бывает на твоём компе а то что даже известные сайты и гос структуры троянили так это надо больше читать ЛАПОТЬ
0 |
Белая аномалия
30-05-2011 17:42:26
ZVER был создан группой хакеров с целью создания бот сетей и распространению всякой заразы и к стати с winlogon.exe и explorer.exe идут с троянцем на борту коню понятно с вашим компом делали эти ребята В "С" у меня нет ничего от "ZVER". В "D" только несколько свободно распостраняемых программ с DVD-образа "ZVER". Моя копия W'индус - лицензионная. Предположу что есть нечто в дистрибутивах программ от ЗВЕРя, но где они стоят - ту винду я использую чисто для поиска инфы в нете, слушаю музыку, иногда фильмы смотрю. Личной информации там ноль! даже пароли/личные данные в браузерах никогда не вводил. Скорость доступа в нет такая что страницы открываются не редко в течении 0,5-1 мин днём, ночью не на много быстрее. Так что для бот сети мой комп вряд ли сгодится. поставь хоть раз aviru и ты увидете какой ужас бывает на твоём компеВидел. Я не писал что у меня нет вирусов вообще. Я писал только то что их нет в "C". Каждый видит только то что он понимает. Кстати подпись у тебя очень соответствующая
0 |
Loki
30-05-2011 16:08:31
я тут в нескольких комментах видел как народ хвалился что они без антивиря сидят на виндозах уже много лет и у них всё чисто Читаем новость внимательно и апплет обеспечивал заражение пользователей, использующих старые версии JRE (Java Runtime Environment)Не ленись обновлять яву и будет тебе счастье.
0 |
Гость
30-05-2011 08:05:08
супер молодцы я тут в нескольких комментах видел как народ хвалился что они без антивиря сидят на виндозах уже много лет и у них всё чисто значит они или врут или полнае ллллллллоооооооххххххххииииииииииииТоварищ, Вы бы своими школьными делами занимались (девочек за косички дергали, на лавочках пиво пили) а не лезли туда, где не понимаете ничего!
0 |
boss
30-05-2011 16:29:14
слыш умник я эксперт-консультант фирм и таких как ты лохов по безопасности разскажи как средствами винды вырубить 135 139 445 порты и как настроить UNIX что-бы doss не страшен был ну ждёмс ответа Умник
0 |
Кир
30-05-2011 16:55:12
135 139 445 порты можно выключить, но без них безсмысленно использовать Windows в сети. От DDOS Вы не защититесь, без участия провайдера. От DOS - iptables tutorial, vi /etc/sysctl.conf. Что такое doss атака я не знаю.
0 |
32422
30-05-2011 08:43:14
Нечаво фаерфоксом пользоваться с Жаба-аплетами.
0 |
22745
30-05-2011 13:38:20
Белая аномалия Это же надо такой маразм выдумать... В вашем случае я вообще не вижу смысла использования винды. Да еще, если учесть, что какие то левые сборки + переустановка раз в месяц. После этого называть себя умным... это очень глупо!
0 |
Белая аномалия
30-05-2011 14:03:02
Лицензионная XP Professional. Что касается переустановки, то в любом случае мне это делать нужно, ибо я запускаю форматирование, а после форматирования через пару часиков ведь не только предположительные вирусы убиваются. Винды-то то же нет.
0 |
Троль
30-05-2011 16:15:55
Лицензионная XP Professional.Лицензиар - ZVER ?
0 |
79799
30-05-2011 16:53:59
У белой аномалии белая горячка Зато он повеселил нас
0 |
Троль
30-05-2011 17:18:26
Во-во
0 |
Кир
30-05-2011 17:55:20
Вы знаете, и смешно и грустно одновременно. Самоуверенные люди очень часто попадают в неприятные ситуации из-за своего характера. Они думают что все знают и со всем могут справиться, руками душат вирусы. А получается, что возникают гемморои не только у них, но и у собратьев по сети. И приходиться гонять kido по всей организации.
0 |
4664458
01-06-2011 20:09:55
Со сборок ZVER он берёт софт, не саму ОС. Но тоже глупо. В его случае рациональнее было бы собрать собственный кастомный дистр. И да, антивирус винде не нужен. Достаточно фаервола, будь он программный или аппаратный. Разумеется антипример неряшливых домохозяек не в счёт.
0 |
заныкалпыром
06-06-2011 13:39:49
Что вы напали на человека, которому не нужен антивирус. Зачем лысому расческа? А насчёт находки лаборатории Касперского... простите даже язык не поворачивается назвать это руткитом.
0 |