Матрешка для преступников
27 февраля 2017
Общеизвестно, что чем горячее новость и чем страшнее ее заголовок, тем выше к ней интерес. Вирусы, троянцы – это уже примелькалось, стало скучным – кто, кроме специалистов, откроет новость о новом вирусе? А если речь зайдет о Crimeware?
Crimeware (от англ crime — преступление) – вредоносное ПО, предназначенное для автоматизации процесса совершения киберпреступлений, связанных с хищениями денег. Оно сочетает в себе признаки банковских троянцев, шпионского ПО и хакерских утилит.
Звучит зловеще. Но истина, как всегда, где-то рядом.
Установленные на компьютере crimeware-программы могут:
- отслеживать подключение к банковской системе с целью последующего перехвата вводимой конфиденциальной информации – логинов и паролей;
- перехватывать и подменять данные платежа в момент его формирования или во время передачи данных в банк;
- модифицировать СМС-подтверждения.
По классификации Dr.Web такие программы могут относиться к банковским троянцам – программам однозначно вредоносным, для удаления которых пользователю настраивать ничего не нужно.
Банковские троянцы существуют для всех основных операционных систем, описывать их можно бесконечно, поэтому рассмотрим только один пример:
Основное назначение Trojan.Bolik.1 — кража различной ценной информации. Он может достичь этой цели разными способами. Например, контролировать данные, передаваемые и отправляемые браузерами Microsoft Internet Explorer, Chrome, Opera и Mozilla Firefox. Благодаря этому троянец способен похищать информацию, которую пользователь вводит в экранные формы. Кроме того, в шпионский арсенал банкера входит модуль для создания снимков экрана (скриншотов) и фиксации нажатий пользователем клавиш (кейлоггер).
Судя по описанию – типичный crimeware. Но если ознакомиться поближе:
Trojan.Bolik.1 – это полиморфный банковский вирус. Он не только обладает функциями самораспространения, но и модифицирует свой код при каждом запуске.
Функция самораспространения активируется по команде злоумышленников, после чего Trojan.Bolik.1 начинает опрашивать доступные для записи папки в сетевом окружении Windows и на подключенных USB-устройствах, ищет хранящиеся там исполняемые файлы и заражает их. Внутри вируса хранится в зашифрованном виде непосредственно сам банковский троянец Trojan.Bolik.1, а также другая необходимая вирусу информация.
Возможно, при создании этого троянца вирусописатели вдохновлялись русской матрешкой?
О полиморфном вредоносном ПО стоит сказать особо.
Так называемые полиморфики — это программы, изменяющие свой код при каждом запуске или на лету. Они не определяются с помощью сигнатур – в них просто нет ни одного характерного участка кода, который можно выделить и занести в вирусную базу.
Чтобы определить полиморфную вредоносную программу, нужны специальные технологии. Именно появление первых вредоносных полиморфных программ послужило толчком к созданию Антивируса Dr.Web. Антивирус предыдущего поколения, созданный Д.Н. Лозинским, ловить их не умел.
Если пользователь запустит на своем компьютере инфицированное приложение, вирус расшифрует банковского троянца Trojan.Bolik.1 и запустит его прямо в памяти атакуемого компьютера, без сохранения на диск. При этом вирус имеет специальный встроенный механизм, позволяющий «на лету» изменять код и структуру собственной части, отвечающей за расшифровку Trojan.Bolik.1. Таким образом вирусописатели пытаются затруднить обнаружение своего детища антивирусными программами. Кроме того, Win32.Bolik.1 пытается противодействовать антивирусам, умеющим пошагово выполнять вредоносные программы в специальном эмуляторе, — в архитектуре этого вируса предусмотрены своеобразные «замедлители», состоящие из множества циклов и повторяющихся инструкций.
То есть этот троянец даже не сохраняется на диск – он по сути бестелесный, не существует в виде файла. В результате файловый монитор не сможет отследить его работу, для его обнаружения нужен антируткит – специальный компонент Антивируса Dr.Web, проверяющий запущенные процессы.
Более того, Trojan.Bolik.1 создает собственную виртуальную файловую систему, которая хранится в специальном файле. Таким образом, анализ сохраняемых троянцем файлов недоступен никому!
Trojan.Bolik.1 позаимствовал механизм встраивания в просматриваемые пользователями веб-страницы постороннего содержимого, то есть реализацию технологии веб-инжектов. С ее помощью злоумышленники похищают у своих жертв логины и пароли для доступа к системам «банк-клиент» и другую ценную информацию.
К сожалению, антируткит не может проверять каждое изменение процесса. Поэтому для того, чтобы мгновенно обнаружить внедрение в процесс (инжект), Антивирус Dr.Web использует специальный модуль, контролирующий изменение процессов изнутри. Так что как бы ни называлось вредоносное ПО – оно будет обнаружено Dr.Web.
#вредоносное_ПО #терминология #троянец #технологии_Dr.WebАнтивирусная правДА! рекомендует
- Прежде чем антивирусная программа научится защищать от сложных угроз, проходят десятилетия разработки. Технологии для борьбы со сложными вредоносными программами не создают «с кондачка». Вот почему все основные игроки на рынке антивирусов появились 20 и более лет тому назад. Возникшие впоследствии тучи «маркетинговых» антивирусов, арендовавших движки у известных брендов, развитием технологий не занимались — но откуда это могут знать рядовые пользователи? Вот они и мигрируют с одной программы на другую в поисках «чуда», мгновенно меняя пропустивший одну угрозу антивирус на другой – и нет в этом их вины.
- Забудьте времена, когда качество детектирования антивируса определялось количеством записей в его вирусной базе: бал правят технологии антивируса, у которых подчас и названия-то нет.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Sergey
19:25:08 2020-03-19
Toma
14:14:19 2018-11-13
Денисенко Павел Андреевич
18:10:16 2018-07-26
vasvet
14:06:07 2018-04-07
alex-diesel
10:50:25 2018-04-03
ka_s
11:02:04 2017-08-12
duduka
17:15:03 2017-06-10
Беломойкин
07:59:12 2017-03-03
"Причем, других антивирусов, в то время, еще и в помине не было!"
Был еще один - AIDStest от Лозинского. Но он мог работать только с сигнатурами, и против OneHalf был абсолютно беспомощен к сожалению.
Беломойкин
07:54:34 2017-03-03
Помню, в годах эдак 1995-1996, задолбался OneHalf.3544 гонять. По всему городу бегал с дискетками. Хорошо уже сканер DrWeb был. Правда, раньше он просто полиморфа уничтожал, и вся зашифрованная информация терялась, так как доступа к вирусному файлу кодировки (который располагался в последнем кластере диска) уже не было. Но со временем, (причем, довольно быстро), он научился не только убивать OneHalf, но и пораженные файлы расшифровывать. Причем, других антивирусов, в то время, еще и в помине не было! Ни Кас..., ни Ава... всяких. (Если не считать оболочки DosNavigator и игры Popkorn. В то время ходил слух, что они в механизме OneHalf.3544 что-то ломали, и вирус становился неактивным. Умирал, так сказать. о_О :D )
Так что, думайте господа, какому антивирусу доверять. Тому, который уже на этом деле "собаку съел" или всяким раскрученным или бесплатным новоделкам.
Вячeслaв
09:53:21 2017-03-02
a13x
19:22:47 2017-03-01
Ну и я так понял - что будет смысл и толк. Так что спасибо. Буду знать :)
Вячeслaв
14:30:36 2017-03-01
Невыгодно. Куда проще сделать простейший шифровальщик и разослать его фишингом. Статистика от Позитив - в 15м году открывало фишинговые письма 80 процентов, в 16м - 100! И зачем страдать написанием сложного? для них единственный оправданный рынок - целевые атаки
Вячeслaв
14:24:23 2017-03-01
1. Если есть сомнения - отправляйте, мало ли что
2. Если можете - отправляйте не только нам. Если есть возможность помочь тем, кто нами не защищен - это тоже надо делать
А бестелесные вирусы - достаточно древнее изобретение. На меня в свое время произвел впечатление концепт, отключавший одно ядро процессора от системы и запускавший на нем все ему необходимое. Ссылку к сожалению за древностию лет потерял...
a13x
12:30:43 2017-03-01
Dr.Web, к вам вопрос есть: а если антивирус, который НЕ dr.Web - определяет угрозы на ПК, при этом в системных разделах, в достаточно большом количестве (есть же разные сканеры)... Стоит ли волноваться и отправлять файл на проверку в центр dr.web-а? Когда установленный антивирус Dr.Web вообще никаких зловредов, троянов не находил?
Неуёмный Обыватель
00:19:17 2017-02-28
Дмитpий
00:01:33 2017-02-28
razgen
23:58:10 2017-02-27
А-я-яй, сюда нельзя!"
песня ЛИМОНАДНЫЙ ДЖО
Специалисты в области кибербезопасности, нам всё время твердят и предостерегают, что бы мы были осмотрительны и осторожны при всех своих действиях в интернете. Оказывается это далеко не панацея от киберугроз. Все эти предосторожности не помогут по отношению к банковскому вирусу Bolik.
<<Умение распространяться самостоятельно и инфицировать программы можно назвать наиболее опасным свойством этого банкера.
Функциональные возможности Trojan.Bolik.1 выглядят поистине пугающими, а его внутренняя архитектура довольно-таки сложна и неоднозначна. Антивирус Dr.Web детектирует и удаляет все компоненты этого опасного вируса…>>.
https://news.drweb.ru/show/?c=5&i=9999&lng=ru
eaglebuk
23:16:19 2017-02-27
solec
22:08:55 2017-02-27
Геральт
21:54:37 2017-02-27
Любитель пляжного футбола
21:49:30 2017-02-27
razgen
21:48:50 2017-02-27
11:23:27 2017-02-27
<<Правильно, доверять нужно только проверенным партнерам. Старый друг - лучше новых двух.>>
Был и у меня старый проверенный друг, причём бесплатный всем известный. Доверял я ему долгое время. Но потом как-то вот решил попробовать нового друга Доктор Веб. Так вот этот новый друг Dr Web внушил мне большее доверие, надёжность и спокойствие. Сейчас у меня Dr.Web Security Space 11.0. И вот уже я пять лет с этим новым другом Dr Web и возвращаться к старому другу не собираюсь. Бывает и такое, что новый друг оказывается лучше. И всем советую, кто пользуется другими антивирусами, вы хотя бы попробуйте нового друга Dr Web. Для начала, для пробы можно бесплатную демо-версию на 3 месяца, а затем имеется возможность продления на год с 40% скидкой.
Б...а
21:45:50 2017-02-27
Dvakota
21:26:02 2017-02-27
Luger
21:22:48 2017-02-27
Р...й
21:19:06 2017-02-27
orw_mikle
21:18:43 2017-02-27
vla_va
21:10:50 2017-02-27
В...а
21:03:59 2017-02-27
Marsn77
20:58:32 2017-02-27
НинаК
20:54:21 2017-02-27
ek
20:40:19 2017-02-27
kva-kva
20:27:47 2017-02-27
iAFC
19:50:34 2017-02-27
mk.insta
19:34:53 2017-02-27
Andromeda
19:25:29 2017-02-27
GREII
18:05:59 2017-02-27
Шалтай Александр Болтай
16:56:48 2017-02-27
krasserr
16:47:01 2017-02-27
krant
16:26:02 2017-02-27
Но вот эта "шапочка" - Dr.Web рекомендует...
Что рекомендует, кого, кто таким образом рекомендован?
"Dr.Web рекомендует: забудьте времена..."
Ruslan
15:12:14 2017-02-27
Sapfir
15:09:03 2017-02-27
Damir
14:56:02 2017-02-27
faqmatrix
14:55:44 2017-02-27
Alexander
14:03:37 2017-02-27
AntonIT
13:16:51 2017-02-27
User ZZZ
13:15:58 2017-02-27
Татьяна
12:54:28 2017-02-27
dyadya_Sasha
11:50:39 2017-02-27
Владимир
11:23:27 2017-02-27