Новости Информационной

Вид материала

Бюллетень

Содержание Модификация трояна Trojan.VkBase.47 "набирает обороты" Защита данных

Подобный материал:

• Новости Информационной, 955.99kb.
• Новости Информационной, 1386.56kb.
• Новости Информационной, 1315.55kb.
• Новости Информационной, 1058.97kb.
• Новости Информационной, 1195.66kb.
• Новости Информационной, 1268.45kb.
• Новости Информационной, 1016.22kb.
• Новости Информационной, 1001.26kb.
• Новости Информационной, 1203.15kb.
• Новости Информационной, 1112.81kb.

Вредоносная программа, детектируемая продуктами "Лаборатории Касперского" как TDSS (авторское название TDL), является наиболее совершенным на сегодняшний день инструментом киберкриминала. Мощная руткит-составляющая и другие возможности TDL позволили его авторам создать ботнет, состоящий из миллионов персональных компьютеров.

Анализ новой версии вредоносной программы TDL-4, проведенный экспертами "Лаборатории Касперского" Сергеем Головановым и Игорем Суменковым, позволил выявить новые возможности вредоносного ПО и оценить количество зараженных пользовательских ПК.

Изменения в TDL-4 направлены на построение ботнета, максимально защищенного от посягательств конкурентов и антивирусных компаний и теоретически обеспечивают доступ к зараженным машинам даже при закрытии всех командных центров, сообщает Информационная служба Лаборатории Касперского.

В частности, в TDL-4 появилась возможность удаления около 20 наиболее популярных конкурирующих продуктов с машины пользователя. Среди них — такие распространенные вредоносные программы, как Gbot, ZeuS, Optima и другие. При этом сам TDSS устанавливает на ПК около 30 дополнительных утилит, включая фальшивые антивирусы, системы накрутки рекламного трафика и рассылки спама. Одним из значительных нововведений в TDL-4 стала возможность заражения 64-битных операционных систем. Для управления ботнетом кроме командных серверов впервые используется публичная файлообменная сеть Kad. Еще одной новой функцией TDL-4 стала возможность открытия прокси-сервера. Злоумышленники предлагают сервис анонимного доступа к сети через зараженные компьютеры, запрашивая за такую услугу около $100 в месяц.

Как и предыдущие версии, TDL-4 распространяется в основном с помощью так называемых "партнерских программ". Авторы вредоносного ПО не занимаются расширением сети зараженных компьютеров самостоятельно, вместо этого оплачивая данную "услугу" третьим лицам. В зависимости от ряда условий партнерам выплачивается от $20 до $200 за 1000 установок вредоносного ПО.

Несмотря на наличие мер защиты управляющих серверов, экспертам "Лаборатории Касперского" удалось получить общую статистику по количеству зараженных компьютеров. Анализ полученных данных показал, что только за первые три месяца 2011 года с помощью TDL-4 было заражено более 4,5 млн компьютеров по всему миру, большая их часть (28%) расположена в США.

Учитывая упомянутые ранее "расценки" на распространение вредоносного ПО, можно оценить примерный уровень затрат киберпреступников на создание ботнета из компьютеров американских пользователей – он составляет около $250 тыс..

"Мы не сомневаемся, что развитие TDSS будет продолжено, — утверждают авторы исследования. Вредоносная программа и ботнет, объединяющий зараженные компьютеры, доставят еще много неприятностей и пользователям, и специалистам по IT-безопасности. Активная доработка кода TDL-4, руткит для 64-битных систем, старт до запуска операционной системы, использование эксплойтов из арсенала Stuxnet, использование технологий p2p, собственный "антивирус" и многое-многое другое ставят вредоносную программу TDSS в разряд самых технологически развитых и наиболее сложных для анализа".

www.anti-malware.ru


30.06.11 10:41

Модификация трояна Trojan.VkBase.47 "набирает обороты"

На сегодняшний день это сорок седьмая по счету модификация семейства Trojan.VkBase., которое вот уже более семи месяцев не дает покоя пользователям.

Данный троянец разработан злоумышленниками для скрытой загрузки на компьютер жертвы различных вредоносных программ: их список он получает с помощью поискового запроса, направляемого распределенной сети серверов.

Инфицируя компьютер, Trojan.VkBase.47 копирует себя в папку установки Windows, а затем создает в реестре раздел HKLM\SOFTWARE\services32.exe. Там он формирует ряд записей, предназначенных для контроля результативности заражения системы.

Одновременно с этим троянец создает специальный файл журнала, куда заносятся сведения обо всех запущенных в настоящий момент процессах. Если среди них обнаруживаются идентификаторы стандартных модулей антивирусных программ, Trojan.VkBase.47 завершает работу. В противном случае троянец индексирует в реестре записи, относящиеся к системе безопасности Windows, останавливает Windows Firewall и изменяет конфигурацию безопасности Attachment Manager — в результате этого отключаются стандартные предупреждения при попытке запуска в системе загруженных из Интернета исполняемых файлов.

Вслед за этим Trojan.VkBase.47 сохраняет на диске файл сценария командного интерпретатора cmd.exe и запускает его на исполнение. Данный сценарий в свою очередь копирует исполняемый файл троянца в подпапку \Update.1 системной директории под именем svchost.exe, добавляет этот файл в отвечающую за автозагрузку ветвь системного реестра, отключает User Account Control и добавляет себя в исключения Windows Firewall. Будучи запущенной одновременно с операционной системой, вредоносная программа реализует свою основную задачу: соединившись с несколькими удаленными узлами, Trojan.VkBase.47 получает от них список IP-адресов, по которым троянец посылает поисковые запросы для нахождения новых вредоносных приложений, а затем скачивает и устанавливает их на зараженный компьютер.

Основная опасность Trojan.VkBase.47 кроется в том, что данный троянец благодаря встроенной функции поиска может инсталлировать на инфицированном компьютере широчайший список вредоносных программ. Специалисты компании "Доктор Веб" рекомендуют пользователям проявлять бдительность и не забывать о сканировании дисков компьютера с использованием Dr.Web.

www.itnews.com.ua

ЗАЩИТА ДАННЫХ