Вы используете устаревший браузер!

Страница может отображаться некорректно.

Похитители дензнаков

Похитители дензнаков

Другие выпуски этой рубрики (15)
  • добавить в избранное
    Добавить в закладки

Матрешка для преступников

Прочитали: 10045 Комментариев: 74 Рейтинг: 307

27 февраля 2017

Общеизвестно, что чем горячее новость и чем страшнее ее заголовок, тем выше к ней интерес. Вирусы, троянцы – это уже примелькалось, стало скучным – кто, кроме специалистов, откроет новость о новом вирусе? А если речь зайдет о Crimeware?

Crimeware (от англ crime — преступление) – вредоносное ПО, предназначенное для автоматизации процесса совершения киберпреступлений, связанных с хищениями денег. Оно сочетает в себе признаки банковских троянцев, шпионского ПО и хакерских утилит.

Звучит зловеще. Но истина, как всегда, где-то рядом.

Установленные на компьютере crimeware-программы могут:

  • отслеживать подключение к банковской системе с целью последующего перехвата вводимой конфиденциальной информации – логинов и паролей;
  • перехватывать и подменять данные платежа в момент его формирования или во время передачи данных в банк;
  • модифицировать СМС-подтверждения.

По классификации Dr.Web такие программы могут относиться к банковским троянцам – программам однозначно вредоносным, для удаления которых пользователю настраивать ничего не нужно.

Банковские троянцы существуют для всех основных операционных систем, описывать их можно бесконечно, поэтому рассмотрим только один пример:

Основное назначение Trojan.Bolik.1 — кража различной ценной информации. Он может достичь этой цели разными способами. Например, контролировать данные, передаваемые и отправляемые браузерами Microsoft Internet Explorer, Chrome, Opera и Mozilla Firefox. Благодаря этому троянец способен похищать информацию, которую пользователь вводит в экранные формы. Кроме того, в шпионский арсенал банкера входит модуль для создания снимков экрана (скриншотов) и фиксации нажатий пользователем клавиш (кейлоггер).

https://news.drweb.ru/show/?c=5&i=9999&lng=ru

Судя по описанию – типичный crimeware. Но если ознакомиться поближе:

Trojan.Bolik.1 – это полиморфный банковский вирус. Он не только обладает функциями самораспространения, но и модифицирует свой код при каждом запуске.

Функция самораспространения активируется по команде злоумышленников, после чего Trojan.Bolik.1 начинает опрашивать доступные для записи папки в сетевом окружении Windows и на подключенных USB-устройствах, ищет хранящиеся там исполняемые файлы и заражает их. Внутри вируса хранится в зашифрованном виде непосредственно сам банковский троянец Trojan.Bolik.1, а также другая необходимая вирусу информация.

Возможно, при создании этого троянца вирусописатели вдохновлялись русской матрешкой?

О полиморфном вредоносном ПО стоит сказать особо.

Так называемые полиморфики — это программы, изменяющие свой код при каждом запуске или на лету. Они не определяются с помощью сигнатур – в них просто нет ни одного характерного участка кода, который можно выделить и занести в вирусную базу.

Чтобы определить полиморфную вредоносную программу, нужны специальные технологии. Именно появление первых вредоносных полиморфных программ послужило толчком к созданию Антивируса Dr.Web. Антивирус предыдущего поколения, созданный Д.Н. Лозинским, ловить их не умел.

Если пользователь запустит на своем компьютере инфицированное приложение, вирус расшифрует банковского троянца Trojan.Bolik.1 и запустит его прямо в памяти атакуемого компьютера, без сохранения на диск. При этом вирус имеет специальный встроенный механизм, позволяющий «на лету» изменять код и структуру собственной части, отвечающей за расшифровку Trojan.Bolik.1. Таким образом вирусописатели пытаются затруднить обнаружение своего детища антивирусными программами. Кроме того, Win32.Bolik.1 пытается противодействовать антивирусам, умеющим пошагово выполнять вредоносные программы в специальном эмуляторе, — в архитектуре этого вируса предусмотрены своеобразные «замедлители», состоящие из множества циклов и повторяющихся инструкций.

https://news.drweb.ru/show/?c=5&i=9999&lng=ru

То есть этот троянец даже не сохраняется на диск – он по сути бестелесный, не существует в виде файла. В результате файловый монитор не сможет отследить его работу, для его обнаружения нужен антируткит – специальный компонент Антивируса Dr.Web, проверяющий запущенные процессы.

Более того, Trojan.Bolik.1 создает собственную виртуальную файловую систему, которая хранится в специальном файле. Таким образом, анализ сохраняемых троянцем файлов недоступен никому!

Trojan.Bolik.1 позаимствовал механизм встраивания в просматриваемые пользователями веб-страницы постороннего содержимого, то есть реализацию технологии веб-инжектов. С ее помощью злоумышленники похищают у своих жертв логины и пароли для доступа к системам «банк-клиент» и другую ценную информацию.

https://news.drweb.ru/show/?c=5&i=9999&lng=ru

К сожалению, антируткит не может проверять каждое изменение процесса. Поэтому для того, чтобы мгновенно обнаружить внедрение в процесс (инжект), Антивирус Dr.Web использует специальный модуль, контролирующий изменение процессов изнутри. Так что как бы ни называлось вредоносное ПО – оно будет обнаружено Dr.Web.

#вредоносное_ПО #терминология #троянец #технологии_Dr.Web

Антивирусная правДА! рекомендует

  1. Прежде чем антивирусная программа научится защищать от сложных угроз, проходят десятилетия разработки. Технологии для борьбы со сложными вредоносными программами не создают «с кондачка». Вот почему все основные игроки на рынке антивирусов появились 20 и более лет тому назад. Возникшие впоследствии тучи «маркетинговых» антивирусов, арендовавших движки у известных брендов, развитием технологий не занимались — но откуда это могут знать рядовые пользователи? Вот они и мигрируют с одной программы на другую в поисках «чуда», мгновенно меняя пропустивший одну угрозу антивирус на другой – и нет в этом их вины.
  2. Забудьте времена, когда качество детектирования антивируса определялось количеством записей в его вирусной базе: бал правят технологии антивируса, у которых подчас и названия-то нет.

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: