->

суббота, 13 августа 2011 г.

Перехват паролей банков.

Новый вирус заползает в старые дыры, которые были описаны мной в "статье" Антикасперский вирус, или как крадут пароли с одноклассников.

Чем интересен новый вирус?

При заражении на компьютер затягивается файл calc.exe, который при запуске закидывает на винт следующие файлы:
  • C:\WINDOWS\fgths.sys
  • C:\WINDOWS\system32\drivers\etc\host5
         Файл host5 содержит следующие записи:
«fg565hghgh
80.79.118.147 sbrf.ru
80.79.118.147 www.sbrf.ru
80.79.118.147 esk.sbrf.ru
80.79.118.147 www.esk.sbrf.ru
80.79.118.147 esk.zubsb.ru
80.79.118.147 www.esk.zubsb.ru
80.79.118.149 www.click.alfabank.ru
80.79.118.149 click.alfabank.ru
80.79.118.149 www.alfabank.ru
80.79.118.149 alfabank.ru
80.79.118.150 money.yandex.ru
80.79.118.150 passport.yandex.ru
80.79.118.150 www.money.yandex.ru
80.79.118.150 www.passport.yandex.ru
67dfg5gb66»

Как видно из текста здесь просто идет перехват отбрещений к сайтам, на которых водятся деньги. На ресурсах, отображаемых вместо желаемой страницы имитируются страницы с полями ввода паролей для входа в личный кабинет «альфабанка», «сбербанка» и «яндекс деньги».
Я попробовал выйти на страницы по данным IP. Работает только страница с последним IP – яндекс деньги. Возможно альфабанк и сбербанк просто среагировали оперативнее, чем яндекс.
Все ссылки на странице были полностью рабочими, но логин и пароль однозначно будут отправлены еще в один адрес.

Имитация страницы
Решением проблемы может послужить удаление следующих файлов:
- файла calc.exe, хранящегося не в папке C:\WINDOWS\system32
- файла host5, из папки C:\WINDOWS\system32\drivers\etc\
- файла fgths.sys, из папки C:\WINDOWS\

Сложность может составить удаление файла fgths.sys. Однако, это легко, обходится при помощи программы Unlocker.
Вирус визуально ничем не проявляет себя, поэтому необходимо просто проверить наличие лишнего файла host5 в папке C:\WINDOWS\system32\drivers\etc\.
На момент нахождения вируса он лайн ресурс Касперского никак не реагировал на зараженный файл.

DrWeb сработал пооперативнее (опознал вирус как trojan.muldrop2.57412).


P.S. Не попадайтесь.