Описание вредоносного ПО

 

Ниже приведено описание одного из известных вариантов получения ключевой информации в корыстных целях. ПО обладает полным набором необходимых функций с возможностью загрузки дополнительных модулей и обновлений в необходимых случаях. Основная проблема для злоумышленника остается в способе загрузки ПО на интересующий компьютер и реализуется различными  путями - завлечением на развлекательные и иные сайты с сомнительным содержанием,  заражением публичных путем взлома, рассылкой писем со встроенным ПО и другими.

Источник информации: http://www.scanforfree.com/06/tr.crypt.xpack.gen-removal.html

…aaa.bbb.ccc - троян, заражающий ПК через уязвимости операционной системы и позволяющий внешним злоумышленникам получать контроль над компьютером. Однажды инфицируя [ПК], троян будет использовать [новые/иные] эксплоиты для загрузки и установки дополнительного вредоносного ПО в систему без оповещения жертвы. Обычно инфицирование происходит через измененные медиакодеки, AcitveX и Flash обновления, загружаемые с порносайтов и сайтов свободно распространяемого ПО. Троян  представляет серьезный риск для безопасности, т.к. позволяют отслеживать нажатия клавиш и похищать конфиденциальную банковскую информацию типа номеров кредитных карт, паролей и логинов!

 Известные алиасы трояна:

 Win32.Bagle.HV@mm, W32/Bagle.gen, Email-Worm.Win32.Bagle.hv, Trojan.Bagle.Gen!Pac19, I-Worm/Bagle.PZ, TROJ_Generic, Win32.HLLM.Beagle, Win32:Beagle-VI, Email-Worm.Win32.Bagle.hv, Win32/Bagle.HJ

Известные клоны трояна:

Trojan Crypt.XPACK.Gen Clones: Trojan.Crypt.Xpack.AQB, Trojan.Crypt.XPACK.Gen, Trojan.Crypt.Xpack.SY, trojan.crypt.xpack.atr, Trojan.Crypt.Xpack.CS, Trojan.Crypt.Xpack.HM, Trojan.Crypt.Xpack.JD, Trojan.Crypt.Xpack.P, Trojan.Crypt.Xpack.QKTrojan.Crypt.Xpack.ZU, Trojan.Crypt.Xpack.QF

 Признаки заражения ПК трояном:

• Снижение производительности, медленная загрузка и перезагрузка, уничтожение системных файлов до состояния синего экрана (смерти);
• Появление странных [неизвестных] системных процессов;
• Может дезактивировать блокировку всплывающих окон с открытием собственного окна;
• Снижение пропускной способности канала и ухудшение доступа к сети Интернет;
• Троян переустанавливает себя при каждой перезагрузке ПК;
• Делает неудаляемыми неработающие ярлыки рабочего стола;
• Удаляет иконки системного трея ОС.

Поведение трояна:

• Устанавливает защиту (собственную), дезактивирует антивирусное и защитное приложения;
• Архивирует и  отправляет (злоумышленнику) системную информацию, логины, пароли, клавиатурный ввод и иные чувствительные данные;
• Отслеживает работу системы и системного реестра, создает всплывающие окна в соответствии с действиями браузера.

Использует системные уязвимости безопасности для заражения ПК новыми троянами.

___________________

Следует добавить, что:

• перечень функций названного вредоносного ПО не является исчерпывающим, т.к. в программе предусмотрена загрузка новых/дополнительных модулей и зависит от целей злоумышленника в конкретном случае;
• заражение ПК возможно при организации комплексной  атаки;
• наиболее вероятное заражение ПК происходит при работе в пиринговых сетях и использовании различных систем мгновенного обмена сообщениями, возможно при посещении хорошо известных сайтов и блогов и при организации атак с использованием методов социальной инженерии (фишинг), основанные на незнании пользователями основ сетевой безопасности.

 

© Центр Сетевой Безопасности Арнис, 2010