->

четверг, 1 декабря 2011 г.

Кража банковских паролей - 2.

Достаточно весело было подцепить следующий вирус на блоге, посвященном безопасности в интернете. Опять же с кем не бывает. Я уже писал что автор блога может легко стать невольным распространителем вирусов.
Вирус внешне ничем себя не проявляет. Зря не шумит и не портит лес. Но последствия такой тишины могут быть гораздо больше, чем от баннеров, блокирующих рабочий стол!...
Сегодня мне таки попался вирус Carberp.10.Чем знаменит этот вирус?
Это троян, после установки себя любимого докачивающий остальные свои части из интернета и перехватывающий данные передаваемые по протоколу SSL (об использовании этого протокола говорит та самая приставка https://..., которую можно видеть при подключении к любому интерфейсу интернет-банка).
Если Вы пользуетесь интернет-банкингом, то имеет смысл проверить свой компьютер на наличие следующих файлов и папок:
- Documents and Settings\user\Application Data\MicroST
- Documents and Settings\user\Application Data\KLY
- Documents and Settings\user\Application Data\wndsksi.inf
- Documents and Settings\user\Application Data\igfxtray.dat
- Documents and Settings\user\Start Menu\Programs\Startup\igfxtray.exe
Если Вы обнаружили часть этих папок у себя на жестком диске, качайте самую свежую утилиту CureIt  или "Malicious Software Removal Tool (Microsoft)" и НЕ ПОЛЬЗУЙТЕСЬ услугами банков пока не проверите утилитой компьютер на наличие вируса.

При заражении вирус прописывается в автозагрузку "Documents and Settings\user\Start Menu\Programs\Startup\igfxtray.exe".
После перезагрузки компьютера вирус докачивает остальные части для усиления своего функционала (перехвата трафика). В проводнике данный вирус увидеть невозможно, поскольку вирус "...использует файл  ntdll.dll, чтобы скрыть себя, перехватывая все обращения к  NtQueryDirectoryFile и ZwQueryDirectoryFile. То есть, пользователь не  может увидеть файл, просматривая папку автозагрузки с помощью проводника  или команды dir в командной строке...
...Кроме всего прочего, Trojan.Downloader.Carberp.A особенно следит  за обращениями пользователя к некоторым конкретным немецким, датским,  голландским, американским и израильским банкам, следуя инструкциям и  конфигурации, получаемой с управляющего сервера.  Такой подход дает кибер-преступникам мощное средство практически прямой  кражи электронных денег со счетов граждан и организаций..."  (источник)
Отправив файл на проверку по базам virustotal получаем такую картину на 27.11.2011 (с публикацией подзадержался, долго разбирался что к чему...)


2 комментария:

  1. объясни, чем грозит? у меня интернет банк работает по кодам подтверждения с физической карты кодов. следовательно ничего не переведут?
    а если я в нете картой платила, он сvc 2 крадет?

    ОтветитьУдалить
  2. Чем грозит конкретно в этом случае - я не знаю. Но чисто теоретически (без технических нюансов с протоколами передачи данных):
    Как Вы думаете, может ли провайдер отследить Ваш трафик при работе с банком? Наверное может.
    Может ли еще один человек побыть в роли провайдера и поразглядывать Ваш с банком трафик? Ну а почему бы и нет. Объяви себя прокси сервером, и вперед.
    Может ли этот человек в случае передачи данных чуть чуть их подправить таким образом, чтобы ему перевелось несколько монет? Теоретически может, потому что все логины и пароли вводимые Вами и идущие на проверку в банк проходят через его сайт/сервер.
    Откажет ли банк в такой операции? Вполне возможно что нет, потому как Вы же вводите правильные коды, подправляется только сумма и счет, на который уйдут Ваши деньги.
    Вот такие вот размышления :).
    Только не надо впадать в паранойю :)

    ОтветитьУдалить