->

четверг, 1 декабря 2011 г.

Кража банковских паролей - 2.

Достаточно весело было подцепить следующий вирус на блоге, посвященном безопасности в интернете. Опять же с кем не бывает. Я уже писал что автор блога может легко стать невольным распространителем вирусов.
Вирус внешне ничем себя не проявляет. Зря не шумит и не портит лес. Но последствия такой тишины могут быть гораздо больше, чем от баннеров, блокирующих рабочий стол!...
Сегодня мне таки попался вирус Carberp.10.Чем знаменит этот вирус?
Это троян, после установки себя любимого докачивающий остальные свои части из интернета и перехватывающий данные передаваемые по протоколу SSL (об использовании этого протокола говорит та самая приставка https://..., которую можно видеть при подключении к любому интерфейсу интернет-банка).
Если Вы пользуетесь интернет-банкингом, то имеет смысл проверить свой компьютер на наличие следующих файлов и папок:
- Documents and Settings\user\Application Data\MicroST
- Documents and Settings\user\Application Data\KLY
- Documents and Settings\user\Application Data\wndsksi.inf
- Documents and Settings\user\Application Data\igfxtray.dat
- Documents and Settings\user\Start Menu\Programs\Startup\igfxtray.exe
Если Вы обнаружили часть этих папок у себя на жестком диске, качайте самую свежую утилиту CureIt  или "Malicious Software Removal Tool (Microsoft)" и НЕ ПОЛЬЗУЙТЕСЬ услугами банков пока не проверите утилитой компьютер на наличие вируса.

При заражении вирус прописывается в автозагрузку "Documents and Settings\user\Start Menu\Programs\Startup\igfxtray.exe".
После перезагрузки компьютера вирус докачивает остальные части для усиления своего функционала (перехвата трафика). В проводнике данный вирус увидеть невозможно, поскольку вирус "...использует файл  ntdll.dll, чтобы скрыть себя, перехватывая все обращения к  NtQueryDirectoryFile и ZwQueryDirectoryFile. То есть, пользователь не  может увидеть файл, просматривая папку автозагрузки с помощью проводника  или команды dir в командной строке...
...Кроме всего прочего, Trojan.Downloader.Carberp.A особенно следит  за обращениями пользователя к некоторым конкретным немецким, датским,  голландским, американским и израильским банкам, следуя инструкциям и  конфигурации, получаемой с управляющего сервера.  Такой подход дает кибер-преступникам мощное средство практически прямой  кражи электронных денег со счетов граждан и организаций..."  (источник)
Отправив файл на проверку по базам virustotal получаем такую картину на 27.11.2011 (с публикацией подзадержался, долго разбирался что к чему...)