alexlubiy 210 Опубликовано 29 мая, 2011 Share Опубликовано 29 мая, 2011 «Лаборатория Касперского» обнаружила первый банковский руткит, предназначенный для 64-разрядных систем. Он распространялся в ходе drive-by атаки, организованной бразильскими киберпреступниками. "Мы обнаружили вредоносный Java-апплет, внедренный в популярный бразильский веб-сайт. В ходе атаки вредоносный апплет обеспечивал заражение пользователей, использующих старые версии JRE (Java Runtime Environment), независимо от того, какая версия системы у них установлена — 32- или 64-разрядная", - говорят в антивирусной компании. Апплет содержит несколько интересных файлов: Схема вредоносной атаки простая, но интересная. Файл add.reg отключает контроль учетных записей пользователя (UAC) и изменяет реестр Windows, добавляя на зараженной машине фальшивые центры сертификации (CA — Certification Authorities). Эта схема регистрации вредоносных центров сертификации в зараженной системе применяется бразильскими киберпреступниками с прошлого года. Файл cert_override.txt представляет собой поддельный цифровой сертификат, подписанный одним из таких несуществующих центров сертификации, зарегистрированных в системе вредоносным Java-апплетом. Основная цель атаки — перенаправить пользователя на домен, используемый для фишинговых атак. Поддельный сайт выдает страницу, которая выдается за реальную страницу банка и на которой присутствует пиктограмма https-соединения. Файл aaa.bat выполняется и запускает на исполнение файл bcdedit.exe — легитимную утилиту, созданную компанией Microsoft для редактирования загрузочной конфигурации Windows Vista и более поздних версий Windows. Использование этой утилиты с соответствующими параметрами, такими как “DISABLE_INTEGRITY_CHECKS”, “TESTSIGNING ON” и “type= kernel start= boot error= normal” позволяет скопировать файлы plusdriver.sys и plusdriver64.sys в папку драйверов и зарегистрировать их в качестве активных драйверов при следующей перезагрузке. Данная схема дает возможность запустить вредоносный драйвер без легитимной цифровой подписи. После регистрации в системе вредоносные драйверы выполняют несколько команд: изменяют файл hosts, добавляя переадресацию на фишинговый домен, а также удаляют несколько файлов, необходимых для работы плагина безопасности, используемого бразильскими банками. источник Ссылка на сообщение Поделиться на другие сайты
_Strannik_ 766 Опубликовано 30 мая, 2011 Share Опубликовано 30 мая, 2011 Да,довольно таки интересно и познавательно. Ссылка на сообщение Поделиться на другие сайты
Darzya 325 Опубликовано 30 мая, 2011 Share Опубликовано 30 мая, 2011 add.reg отключает контроль учетных записей пользователя (UAC) Не знала что есть способы отключения UAC, без ответа на вопрос от самого UAC. Ссылка на сообщение Поделиться на другие сайты
Pomka. 1 817 Опубликовано 30 мая, 2011 Share Опубликовано 30 мая, 2011 странно я даже не удивился. Ссылка на сообщение Поделиться на другие сайты
Fox 235 Опубликовано 30 мая, 2011 Share Опубликовано 30 мая, 2011 В ходе атаки вредоносный апплет обеспечивал заражение пользователей, использующих старые версии JRE (Java Runtime Environment) думаю, что дальше можно не продолжать. и много случаев заражения на данный момент зафиксировано? Ссылка на сообщение Поделиться на другие сайты
Nikolay Lazarenko 439 Опубликовано 1 июня, 2011 Share Опубликовано 1 июня, 2011 Мы обнаружили вредоносный Java-апплет, внедренный в популярный бразильский веб-сайт. И небось сайт вообще не нужен для непосредственной работы в банке. Ещё одно подтверждение:банковскому составу негоже бывать на сторонних ресурсах.Категорично,да,но вроде справедливо. Ссылка на сообщение Поделиться на другие сайты
ShRaM 61 Опубликовано 2 июня, 2011 Share Опубликовано 2 июня, 2011 не плохая схема не плохая схема Ссылка на сообщение Поделиться на другие сайты
Fox 235 Опубликовано 2 июня, 2011 Share Опубликовано 2 июня, 2011 Ещё одно подтверждение:банковскому составу негоже бывать на сторонних ресурсах. а то, что у них старые версии уязвимых программ-это нормально? Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти