Описание вредоносного ПО
Ниже приведено описание одного из известных вариантов получения ключевой информации в корыстных целях. ПО обладает полным набором необходимых функций с возможностью загрузки дополнительных модулей и обновлений в необходимых случаях. Основная проблема для злоумышленника остается в способе загрузки ПО на интересующий компьютер и реализуется различными путями - завлечением на развлекательные и иные сайты с сомнительным содержанием, заражением публичных путем взлома, рассылкой писем со встроенным ПО и другими.
Источник информации: http://www.scanforfree.com/06/tr.crypt.xpack.gen-removal.html
…aaa.bbb.ccc - троян, заражающий ПК через уязвимости операционной системы и позволяющий внешним злоумышленникам получать контроль над компьютером. Однажды инфицируя [ПК], троян будет использовать [новые/иные] эксплоиты для загрузки и установки дополнительного вредоносного ПО в систему без оповещения жертвы. Обычно инфицирование происходит через измененные медиакодеки, AcitveX и Flash обновления, загружаемые с порносайтов и сайтов свободно распространяемого ПО. Троян представляет серьезный риск для безопасности, т.к. позволяют отслеживать нажатия клавиш и похищать конфиденциальную банковскую информацию типа номеров кредитных карт, паролей и логинов!Известные алиасы трояна:
Win32.Bagle.HV@mm, W32/Bagle.gen, Email-Worm.Win32.Bagle.hv, Trojan.Bagle.Gen!Pac19, I-Worm/Bagle.PZ, TROJ_Generic, Win32.HLLM.Beagle, Win32:Beagle-VI, Email-Worm.Win32.Bagle.hv, Win32/Bagle.HJИзвестные клоны трояна:
Trojan Crypt.XPACK.Gen Clones: Trojan.Crypt.Xpack.AQB, Trojan.Crypt.XPACK.Gen, Trojan.Crypt.Xpack.SY, trojan.crypt.xpack.atr, Trojan.Crypt.Xpack.CS, Trojan.Crypt.Xpack.HM, Trojan.Crypt.Xpack.JD, Trojan.Crypt.Xpack.P, Trojan.Crypt.Xpack.QKTrojan.Crypt.Xpack.ZU, Trojan.Crypt.Xpack.QF
Признаки заражения ПК трояном:
- Снижение производительности, медленная загрузка и перезагрузка, уничтожение системных файлов до состояния синего экрана (смерти);
- Появление странных [неизвестных] системных процессов;
- Может дезактивировать блокировку всплывающих окон с открытием собственного окна;
- Снижение пропускной способности канала и ухудшение доступа к сети Интернет;
- Троян переустанавливает себя при каждой перезагрузке ПК;
- Делает неудаляемыми неработающие ярлыки рабочего стола;
- Удаляет иконки системного трея ОС.
Поведение трояна:
- Устанавливает защиту (собственную), дезактивирует антивирусное и защитное приложения;
- Архивирует и отправляет (злоумышленнику) системную информацию, логины, пароли, клавиатурный ввод и иные чувствительные данные;
- Отслеживает работу системы и системного реестра, создает всплывающие окна в соответствии с действиями браузера.
Использует системные уязвимости безопасности для заражения ПК новыми троянами.
___________________
Следует добавить, что:
- перечень функций названного вредоносного ПО не является исчерпывающим, т.к. в программе предусмотрена загрузка новых/дополнительных модулей и зависит от целей злоумышленника в конкретном случае;
- заражение ПК возможно при организации комплексной атаки;
- наиболее вероятное заражение ПК происходит при работе в пиринговых сетях и использовании различных систем мгновенного обмена сообщениями, возможно при посещении хорошо известных сайтов и блогов и при организации атак с использованием методов социальной инженерии (фишинг), основанные на незнании пользователями основ сетевой безопасности.
© Центр Сетевой Безопасности Арнис, 2010