1 литр бензина за 4 копейки! Аналогов в мире пока нет! .
Ни-че-го се-бе!! - (0)Ни-че-го се-бе!! Скажите фокус- поверю!!! Я тоже думаю, что это скорее фокус чем чудо! Но оста...
Почти диалектическое: мужчины о женщинах - (0)Почти диалектическое: мужчины о женщинах…))) Мне было бы легче примирить всю Европу, чем...
Windows Лицензирование Виндоус - (6)Этот пост для тех,у кого стоит не лицензионная версия Windows! Проверка подлиннос...
Как покормить крокодила - (0)Небольшая видеозарисовка из страны, где много диких обезьян крокодилов. Хочу обрат...
(и еще 1014 записям на сайте сопоставлена такая метка)
Другие метки пользователя ↓
#вакцина #вирус #геноцид #графити #графитчики #закон #люди #послание #преступление #фашизм #человечество check facebook game heavy mefisto13 melodic metal music power rock Маски азарт андрей безопасность бизнес вКонтакте видео горбатов город деньги дети женщина жизнь заработок игра интернет информация карта касперский криптовалюта кристалы лутбоксы люди машина метал мир монеты москва мужчина мужчины музыка новости общество одноклассники поиск пользователи праздник прикол программа программы работа раскрутка реклама рок сайт статья страница телеграм фото чек чеки чекскан человек
Путин взбешен действиями Собянина |
Дневник |
Путин взбешен действиями Собянина, губернатор Воробьёв открестился от токсичного мэра Москвы
Известный политик Вячеслав Лысаков выступил с жесткой критикой действий мэра Москвы Сергея Собянина в период пандемии коронавируса.
Охарактеризовав введение пропусков в Москве «цифровым ошейником», политик назвал указы мэрии Москвы «беззаконием, выходящим за рамки Конституционных прав и свобод».
Также, Лысаков рассказал о возникшем конфликте между губернатором Московской области Андреем Воробьевым и мэром Москвы Сергеем Собяниным, который возникает на фоне крайнего недовольства президентом России Владимиром Путиным действиями мэра столицы. Итогом растущего напряжения в региональных и федеральных ветвях власти стало решение губернатора Подмосковья не дожидаться давления со стороны мэрии Москвы и первыми отменить в регионе пропуска.
Высказав мнение о личности самого мэра Москвы, Лысаков назвал Собянина «токсичным и маниакально упорно требующим продлить карантин».
Цитируем:
«Вчерашняя информация от Короновирус. Оперштаб Москвы не может не настораживать, хотя прошла в Telegram незаметно.
Под убаюкивающие речи Собянина об ослаблении ограничений и точечные обещания, в Москве продолжается закручивание цифровой резьбы на ошейнике уже не только для москвичей, но и для любого жителя России, решившего приехать в Москву, начиная с конца мая.
"С 27 мая для передвижения по городу Москве будут действительны ТОЛЬКО московские цифровые пропуска. Оформить их жители других регионов могут уже сегодня.".
Другими словами, столичное беззаконие, которое с упоением рекламировалось федеральными телеканалами: штраф в 5 тыс.руб. с каждой камеры на авто без пропуска и 4 тыс. руб. за любой чих, под слащавые ролики про дедушек и бабушек, обязанных сидеть дома и вирусные ужасы в мире, ограничение прав и свобод, выходящее за рамки Конституции и федеральных законов, полное игнорирование официальной позиции Верховного суда РФ и одобряющее молчание федерального центра, прежде всего - Кремля, начинает складываться в мрачную картину, вызывающую ряд тяжелых вопросов.
Прежде всего, этим шагом (ограничением въезда в Москву, а пропуск - это ограничение под страхом штрафа), московская власть снова и явно выходит за рамки своих полномочий, беря на себя функции Российской Федерации.
Да и Российская Федерация может ограничивать права и свободы граждан, не выходя за рамки Конституции и процедуры.
КОНСТИТУЦИЯ РФ.
Статья 8.
1. В Российской Федерации гарантируются единство экономического пространства, свободное перемещение товаров, услуг и финансовых средств, поддержка конкуренции, свобода экономической деятельности.
Статья 56.
1. В условиях чрезвычайного положения для обеспечения безопасности граждан и защиты конституционного строя в соответствии с федеральным конституционным законом могут устанавливаться отдельные ограничения прав и свобод с указанием пределов и срока их действия.
Вопрос. Москва - это Российская Федерация? Нет, это субъект Российской Федерации.
Вопрос. В РФ введено ЧП? Нет, не введено.
Вопрос. Почему Москва объявляет для ВСЕХ жителей РФ ограничение их прав и свобод, упомянутых в ст.8 Конституции РФ?
Если задумана всероссийская "спецоперация", в которой Собянину дали "карт-бланш" с обменом, в случае успеха, на федеральную должность, например, премьера или обещание еще большего, тогда понятно и всеобщее молчание (поощрение) его показной независимости, доходящей до откровенного сепаратизма, и подвешенность дат проведения парада Победы, голосования за поправки в Конституцию и ЕДГ. А уже вовсю и досрочные выборы в ГД обсуждаются.
Ведь всё это надо выстроить в взаимоувязанную конструкцию.
Замечу, что на фоне этого, Татарстан уже уничтожил все цифровые данные на граждан и программные продукты, а Москва продолжает наращивать объем персональной информации, отпустив все тормоза.
Не ведут ли нас, как стадо баранов, в нужном для пастухов направлении, отслеживая прочность возможных рамок ограничений, поскольку они, как нельзя кстати, решают многие проблемы, фактически (но не юридически) легитимизируя слежку за гражданами и их передвижениями под страхом штрафов, полный запрет на митинги, собрания и демонстрации и возможное жонглирование любыми цифрами, результатами и итогами.
Если мы все будем просто молча это наблюдать, то вполне возможно, что пословицу "кусать локти" - вспомним очень скоро.
P.S. Остаётся один традиционный, русский запасной вариант, в случае разбалансировки предполагаемой мною "спецоперации". Добрый царь выйдет на кремлевское крыльцо и при всем честном народе накажет зарвавшегося боярина. И все радостно и с облегчением выдохнут.».
Цитируем:
«Сегодня я выложил довольно жесткий пост, с гипотезой о возможном сговоре Кремля с Собяниным.
Сегодня же, мой товарищ, бывший силовик, работавший прежде в АП, горячо убеждал меня в том, ВВП крайне раздражен действиями ССС. Более того, он взбешен, после того, как разобрался и увидел полностью московскую "картину маслом".
Подтверждением этого является резкая смена курса губернатора Подмосковья Андрея Воробьева, до последнего дня послушно находящегося в фарватере Сергея Собянина.
При том, что мэр Москвы с маниакальным упорством продолжает топить за продление карантина.
Вполне возможно, что получив от друга семьи - Сергея Шойгу информацию из первых рук о токсичности мэра, Воробьев, ведомый инстинктом самосохранения, резко изменил курс, отменив пропуска и реально сняв режимные ограничения.».
"Уголовный кодекс Российской Федерации" от 13.06.1996 N 63-ФЗ (ред. от 07.04.2020) (с изм. и доп., вступ. в силу с 12.04.2020)
УК РФ Статья 136. Нарушение равенства прав и свобод человека и гражданина
(в ред. Федерального закона от 07.12.2011 N 420-ФЗ)
(см. текст в предыдущей редакции)
Дискриминация, то есть нарушение прав, свобод и законных интересов человека и гражданина в зависимости от его пола, расы, национальности, языка, происхождения, имущественного и должностного положения, места жительства, отношения к религии, убеждений, принадлежности к общественным объединениям или каким-либо социальным группам, совершенное лицом с использованием своего служебного положения, -
наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок до четырехсот восьмидесяти часов, либо исправительными работами на срок до двух лет, либо принудительными работами на срок до пяти лет, либо лишением свободы на тот же срок.
"Конституция Российской Федерации" (принята всенародным голосованием 12.12.1993) (с учетом поправок, внесенных Законами РФ о поправках к Конституции РФ от 30.12.2008 N 6-ФКЗ, от 30.12.2008 N 7-ФКЗ, от 05.02.2014 N 2-ФКЗ, от 21.07.2014 N 11-ФКЗ)
Статья 8
1. В Российской Федерации гарантируются единство экономического пространства, свободное перемещение товаров, услуг и финансовых средств, поддержка конкуренции, свобода экономической деятельности.
2. В Российской Федерации признаются и защищаются равным образом частная, государственная, муниципальная и иные формы собственности.
"Конституция Российской Федерации" (принята всенародным голосованием 12.12.1993) (с учетом поправок, внесенных Законами РФ о поправках к Конституции РФ от 30.12.2008 N 6-ФКЗ, от 30.12.2008 N 7-ФКЗ, от 05.02.2014 N 2-ФКЗ, от 21.07.2014 N 11-ФКЗ)
Статья 56
1. В условиях чрезвычайного положения для обеспечения безопасности граждан и защиты конституционного строя в соответствии с федеральным конституционным законом могут устанавливаться отдельные ограничения прав и свобод с указанием пределов и срока их действия.
2. Чрезвычайное положение на всей территории Российской Федерации и в ее отдельных местностях может вводиться при наличии обстоятельств и в порядке, установленных федеральным конституционным законом.
3. Не подлежат ограничению права и свободы, предусмотренные статьями 20, 21, 23 (часть 1), 24, 28, 34 (часть 1), 40 (часть 1), 46 - 54 Конституции Российской Федерации.
|
Антивирусная безопасность |
Метки: mefisto13 antivirus virus kaspersky Dr.Web utilits programs files info sait blog Ivan раскрутка сайт программы настройка страница |
Мобильная вирусология, часть 6 |
Дневник |
Пятая часть нашего регулярного обзора развития вредоносных программ для мобильных устройств была опубликована год назад. Настала пора подвести итоги 2012 года: посмотреть, оправдались ли наши прогнозы, предоставить количественные и качественные данные о развитии зловредов, проанализировать основные тенденции эволюции как самих вредоносных программ, так и атак, осуществляемых с их помощью. Ну и, конечно, дать прогноз развития вредоносных программ и атак на мобильные устройства в 2013 году.
Итак, каковы же были прогнозы на 2012 год? Особо мы выделили дальнейший рост числа вредоносных программ для Android, так как полагали, что основные усилия киберпреступников будут направлены именно на эту платформу. Прогноз оправдался: злоумышленники действительно практически полностью сконцентрировались на создании и распространении зловредов для этой операционной системы.
Далее мы предположили, что помимо root-эксплойтов для Android, которые дают возможность получить полный доступ к операционной системе, киберпреступники начнут использовать уязвимости в ОС Android, и будут зафиксированы первые drive-by атаки. Этот прогноз себя не оправдал – в основном, видимо, потому, что на данном этапе развития вредоносного ПО для Android у киберпреступников просто нет острой необходимости в подобных атаках, так как пользователи по-прежнему активны в «самостоятельном» заражении своих мобильных устройств.
Не оправдался и прогноз относительно появления первых массовых червей для Android, а точнее SMS-червей.
Мы предположили также дальнейшее увеличение числа инцидентов, связанных с обнаружением вредоносных программ в официальных магазинах приложений. Этот прогноз к сожалению, оправдался. Помимо того что в Google Play регулярно появлялись разнообразные зловреды (число жертв варьировало от нескольких десятков до десятков тысяч), впервые был зафиксирован случай появления вредоносного ПО в App Store для iOS.
Сбылся наш прогноз о появлении первых мобильных ботнетов для Android. Появившиеся ботнеты были достаточно разнообразны и в географии заражений, и по количеству зараженных устройств, и по функционалу.
Перечисленные выше прогнозы касались только наиболее популярной на сегодняшний день платформы Android. Что касается других платформ и операционных систем для мобильных устройств, то мы предполагали, что общей для них тенденцией станет использование зловредов для точечных атак. Ярким примером таких атак являются атаки с помощью ZitMo и SpitMo (ZeuS- и SpyEye-in-the-Mobile). Данный прогноз также стал реальностью. При этом в семействе зловредов, ворующих mTAN’ы (ZitMo и SpitMo), случилось прибавление: еще один популярный банковский троянец Carberp обзавелся мобильной версией, которая уже по традиции получила схожее с ZitMo и SpitMo имя — CitMo, или Carberp-in-the-Mobile.
Оправдались и два важных прогноза относительно общего развития атак на мобильные платформы. Во-первых, это становление полноценной индустрии мобильного вредоносного программного обеспечения. А во-вторых, — выход мобильного шпионажа за рамки использования правоохранительными органами и отдельными компаниями, занимающимися детективной деятельностью.
Шестая по счету часть «Мобильной вирусологии» посвящена основным событиям 2012 года, связанным с развитием вредоносных программ для мобильных устройств.уже
В этой главе мы приводим статистические данные о развитии мобильных зловредов. Помимо данных о росте числа вредоносных программ, динамике их появления, распределении по платформам и поведениям, мы добавили также информацию, полученную с помощью облачного сервиса KSN, который теперь доступен и в нашем мобильном продукте для Android.
Наиболее значимым показателем в 2012 году стал взрывной рост числа вредоносных программ для Android: если за весь 2011 год мы обнаружили почти 5300 новых вредоносных программ для всех мобильных платформ, то в некоторые месяцы 2012 года число обнаруживаемых нами Android-зловредов превышало это число. А если говорить об общем количестве уникальных вредоносных файлов, то их насчитывается уже более 6 миллионов!
Общее число модификаций и семейств мобильных вредоносных программ в коллекции «Лаборатории Касперского» на 1 января 2013 года:
Платформа | Модификации | Семейства |
Android | 43600 | 255 |
J2ME | 2257 | 64 |
Symbian | 445 | 113 |
Windows Mobile | 85 | 27 |
Другие | 28 | 10 |
Всего | 46415 | 469 |
Стремительно увеличиваются и темпы роста числа зловредов для мобильных устройств в целом: 40 059 из 46 415 модификаций и 138 из 469 семейств мобильных вредоносных программ попали в нашу коллекцию в течение 2012 года!
Что касается распределения по платформам, то приведенная ниже диаграмма достаточно наглядно все демонстрирует:
Распределение мобильных зловредов (2004-2012) по платформам
Если в конце 2011 года на долю Android приходилось порядка 65% всех мобильных вредоносных программ, то к концу 2012 года доля Android-зловредов в нашей коллекции практически достигла 94%.
При этом 99% всех обнаруженных в течение 2012 года мобильных зловредов нацелены на Android-устройства. Уже к середине года стало понятно, что зловреды для этой операционной системы будут доминировать как минимум ближайшие два года. ОС Android стала самой распространенной операционной системой для мобильных устройств, и это сделало ее основной мишенью вирусописателей. Схема «самая распространенная ОС + установка ПО из любых источников => наибольшее число зловредов» по-прежнему работает.
Весной 2012 года мы запустили наш облачный сервис KSN для мобильного продукта под ОС Android, что позволило нам не только обеспечить дополнительную защиту мобильных устройств пользователей, но и получить интересную статистику того, с какими модификациями вредоносных программ чаще всего сталкиваются пользователи.
Самые распространенные детектируемые объекты на Android-устройствах можно разделить на три основные группы: SMS-троянцы, рекламные программы и эксплойты для получения прав root на смартфоне.
Наиболее распространенные детекты вредоносных объектов для Android
Наиболее популярными Android-зловредами у злоумышленников оказались SMS-троянцы, которые нацелены в основном на пользователей из России. В этом нет ничего удивительного — отправка дорогостоящих SMS-сообщений с зараженных устройств без согласия пользователя остается основным способом заработка российских киберпреступников, специализирующихся на мобильных платформах.
Вторую группу зловредов из TOP 10 составляют рекламные модули Plangton и Hamob. Первое семейство не зря детектируется как Trojan. Plangton встречается в бесплатных приложениях и действительно показывает рекламу. Однако в нем имеется еще и функция смены стартовой страницы браузера без предупреждения и согласия пользователя, что считается вредоносным поведением. Что же касается AdWare.AndroidOS.Hamob, то так детектируются приложения, которые выдают себя за какие-либо полезные программы, а на самом деле лишь показывают рекламу пользователю.
И наконец, третья группа. К ней относятся различные модификации Lotoor — эксплойтов для получения прав root на смартфонах с ОС Android различных версий.
В 2012 году мы наблюдали значительный рост числа инцидентов с вредоносными программами для Android, хотя и о зловредах для других мобильных ОС злоумышленники не забыли. О наиболее заметных инцидентах мы расскажем ниже.
Если подходить формально, то первый мобильный ботнет появился осенью 2009 года. Тогда была обнаружена вторая по счету вредоносная программа для взломанных iOS-устройств (первая появилась полутора месяцами раньше и была чистым proof-of-concept), которая была способна принимать и выполнять команды от удаленного сервера. Но на тот момент это было лишь доказательством того, что и на мобильных устройствах в скором времени появятся настоящие бот-сети.
Появление в 2012 году мобильных ботнетов, построенных на базе мобильных устройств с ОС Android, было ожидаемым событием. Первым тревожным случаем стало обнаружение в январе IRC-бота для Android, который работал в связке с SMS-троянцем. Оба зловреда получили имя Foncy.
Иконка Foncy «MADDEN NFL 12» после установки
Помимо SMS-троянца и IRC-бота в APK-дроппере содержался также и root-эксплойт. После запуска эксплойт в зараженной системе повышал привилегии до root, затем происходил запуск IRC-бота, который, в свою очередь, устанавливал и запускал SMS-троянца. SMS-троянец, отработав, прекращал свою деятельность, а IRC-бот оставался запущенным, ожидая получения команд. Таким образом, именно IRC-бот мог управлять смартфоном после заражения. Все зараженные IRC-ботом Foncy смартфоны составляли полноценный ботнет и были готовы осуществлять практически любые действия по команде «хозяина».
Французской полиции удалось найти и арестовать двух подозреваемых в создании и распространении данного зловреда. По данным полиции, вирусописатели заразили более 2000 устройств и заработали на этой схеме около 100 тысяч евро. Этот случай стал первым в истории арестом людей, которые подозреваются в создании и распространении вредоносной программы именно для мобильных устройств.
В феврале был обнаружен мобильный ботнет, число активных устройств которого варьировало от 10 000 до 30 000, при этом общее число зараженных смартфонов исчислялось сотнями тысяч. Создали этот ботнет китайские вирусописатели. Его основой стал бэкдор RootSmart, который имеет разнообразные функции для удаленного управления мобильным устройством с ОС Android. Для распространения RootSmart киберпреступники положились на известный и действенный прием: перепаковали легальную программу и выложили ее на сайт одного из неофициальных, но очень популярных в Китае магазинов приложений для Android. В результате пользователи, скачавшие программу якобы для настройки телефона, получили вместе с ней бэкдор, включавший их устройство в ботнет.
Масштабы заражения RootSmart были таковы, что позволили злоумышленникам эффективно монетизировать созданную сеть из зараженных телефонов. Для этого они выбрали самый популярный у мобильных киберпреступников способ — отправку платных SMS-сообщений на короткие номера. Злоумышленники использовали самые дешевые номера для того, чтобы жертва как можно дольше не замечала потери средств. Полный контроль над мобильными устройствами, который получали злоумышленники, давал им возможность длительное время скрывать присутствие вредоносной программы на телефоне и дольше выкачивать деньги со счетов.
В 2012 году мы также обнаружили бэкдоры, которым, к счастью, не удалось заразить значительное число устройств, но которые интересны некоторыми своими особенностями.
Зловред для Android, получивший имя Cawitt, любопытен, в первую очередь, механизмом, с помощью которого он получает имена доменов центра управления. Для этого Cawitt использует Twitter. В теле вредоносной программы хранятся строки, из которых она посимвольно формирует ники пользователей социальной сети. Сгенерировав имена мнимых пользователей, бэкдор посылает запрос серверу Twitter, чтобы получить их твиты. Эти твиты и содержат имена доменов командных центров.
Примеры твитов с C&C
Ну а для того чтобы начать получать команды от C&C, Cawitt делает POST-запрос к домену, имя которого получено из Twitter, складывая доменное имя со строкой "/carbontetraiodide". В ответ на запрос бот получает команду.
Другим интересным зловредом, который был обнаружен в конце 2012 года, стал спам-бот для Android с именем SpamSold. Впервые была найдена вредоносная программа для мобильных устройств, основным функционалом которой является рассылка SMS-спама с зараженных устройств.
Бэкдор пытается скрыть свое присутствие на смартфоне, удаляя свою иконку и загружая бесплатную версию игры, под которую он маскируется. После чего SpamSold отправляет на командный сервер GET-запрос следующего вида:
GET-запрос SpamSold
В ответ он получает текст SMS-сообщения, которое нужно отправить, и первые 100 номеров, на которые будет осуществляться отправка сообщений.
После получения ответа бот последовательно пытается отправить SMS-сообщения с полученным текстом на указанные номера, а затем, когда номера заканчиваются, SpamSold обращается к серверу за новой порцией номеров и текста SMS-сообщения. Отправленные SMS-сообщения зловред скрывает, маскируя таким образом свою активность.
К счастью, злоумышленникам не удалось создать большой ботнет. Но сам факт того, что мобильные вредоносные программы начали использоваться именно для рассылки SMS-спама, наводит на мысль, что в 2013 году мы не единожды столкнемся со зловредами, имеющими подобный функционал.
В 2012 году некоторые новые зловреды использовались для точечных атак. Ярким примером являются атаки с помощью ZitMo и SpitMo (Zeus- и SpyEye-in-the-Mobile). Эти зловреды создаются для перехвата SMS-сообщений от онлайн-банкинга, которые содержат коды авторизации банковских транзакций mTAN’ы.
Новые версии ZitMo и SpitMo появлялись регулярно, как для Android, так и для других операционных систем. Вирусописатели по-прежнему используют те же способы маскировки зловредов, что и два года назад. Это маскировка либо под «сертификаты безопасности», либо под программное обеспечение для защиты смартфонов. Под видом этих программ пользователи скачивают зловреды на свои устройства.
Маскировка ZitMo под защитное приложение
Популярность Android не означает, что операционными системами, отличными от Android, уже никто не пользуется. Вирусописателям, например, нет никакого дела до слухов о возможной скорой смерти платформы Blackberry. В 2012 году новые версии ZitMo появлялись и для этой платформы, причем в одной волне атак злоумышленники использовали зловреды как для Blackberry, так и для Android. По крайней мере, C&C номера в них были одни и те же.
Некоторые новые модификации ZitMo для Android стали походить на своих «братьев» для других платформ. Если раньше ZitMo для Android обладал достаточно примитивным функционалом (в основном пересылка входящих сообщений с mTAN’ами), то новые версии троянца содержали в себе расширенный список команд, которые используются авторами вредоносной программы для контроля и управления работой зловреда.
Примеры некоторых команд ZitMo для Android
До 2012 года атаки, целью которых является кража mTAN, были зафиксированы только в ряде европейских стран: в Испании, Италии, Германии, Польше и некоторых других. При этом под угрозой были пользователи различных мобильных платформ: Android, Blackberry, Symbian, Windows Mobile. В конце 2012 года дошла очередь и до России, где онлайн-банкинг становится все более популярным, что, естественно, влияет и на вирусописателей. Распространенный троянец Carberp, работающий по схожему с ZeuS принципу, обзавелся мобильной версией — Trojan-Spy.AndroidOS.Citmo.
Троянец CitMo, как и «напарник» ZeuS ZitMo, способен скрывать входящие SMS-сообщения, содержащие mTAN’ы, и пересылать их злоумышленникам. Различные версии СitMo пересылают перехваченные SMS как на телефонные номера киберперступников, так и на их удаленные серверы.
Одна из версий Carberp модифицировала страницу входа в систему онлайн-банкинга одного из российских банков. На фальшивой стартовой странице пользователю предлагалось скачать и установить программу, якобы необходимую для входа в систему. Пользователь мог получить ссылку на эту программу либо в SMS-сообщении, указав предварительно свой номер телефона, либо отсканировав QR-код.
QR-код как один способов загрузки зловреда
Ссылка вела на приложение SberSafe (Trojan-Spy.AndroidOS.Citmo), которое в течение двух недель находилось в магазине приложений Google Play.
Потенциальная жертва, запустив вредоносное приложение, видела на экране предложение ввести телефонный номер. Введенный номер записывался в файл auth.txt и отправлялся на удаленный сервер злоумышленников. Через некоторое время пользователь получал SMS-сообщение с пятизначным кодом, который было необходимо указать в программе. Этот код записывался в файл authcode.txt и использовался вместе с телефонным номером в качестве идентификатора данных, которые вредоносная программа впоследствии отправляла на сервер злоумышленников.
В ходе атак с кражей mTAN троянцу необходимо скрывать входящие SMS от системы онлайн-банкинга. В противном случае, во время попыток злоумышленников перевести средства со счета взломанного аккаунта, такие сообщения вызовут у пользователя подозрения.
CitMo загружал с сервера злоумышленников информацию о номерах, входящие сообщения с которых необходимо скрывать и пересылать на удаленный сервер (записывались в файл hide.txt), и данные о номерах, входящие сообщения с которых можно отображать (записывались в файл view.txt). Когда приходило очередное сообщение, CitMo проверял отправителя. Если данные отправителя совпадали с записью из файла hide.txt, полученное сообщение скрывалось и записывалось в файл messages.txt, который отправлялся на удаленный сервер злоумышленников.
Эволюция наиболее популярного среди злоумышленников способа монетизации мобильных зловредов продолжается. Если в 2011 году одним из самых интересных трендов стало появление SMS-троянцев, нацеленных на пользователей из стран Европы и Северной Америки, то в 2012 году были обнаружены полноценные партнерские программы по распространению SMS-троянцев, нацеленные на пользователей именно из этих стран. А партнерки, как известно, являются одним из наиболее эффективных инструментов для создания, распространения и монетизации вредоносных программ.
В 2012 было обнаружено семейство SMS-троянцев для Android, получившее название Vidro, которое было нацелено на пользователей из Польши. Сам по себе SMS-троянец не выделялся чем-то особенным. Но стоит отметить одну немаловажную особенность: зловред распространялся через порносайты мобильной партнерской программой для монетизации порнотрафика.
Скачивание зловреда происходило с вредоносного домена vid4droid.com. Этот домен контролируется двумя name-серверами с адресом carmunity.de, а mail-сервер vid4droid.com находится на tecmedia.eu. Есть несколько хостов (например, sex-goes-mobile.biz, sexgoesmobile.biz, sexgoesmobil.com), у которых name-сервера и mail-сервер такие же, как и у vid4droid.com. Если зайти на один из этих хостов, то произойдет перенаправление на sexgoesmobile.com. Данный сайт является сайтом партнерской программы для монетизации «взрослого» мобильного трафика.
Главная страница партнерской программы SexGoesMobile.com
Многие мобильные партнерские программы (российские как минимум) предоставляют всем участникам полный доступ к так называемым «промо-средствам». Партнерка SexGoesMobile не является исключением. Каждый партнер, который принимает участие в SexGoesMobile, имеет собственный ID. Партнер может создать мобильный сайт, используя один из существующих шаблонов (у каждого шаблона есть собственное доменное имя), сгенерировать уникальный URL со своим ID, ведущий на vid4droid.com, и разместить этот URL на своем сайте.
Кликнув по любой из ссылок на шаблонном сайте, пользователь попадал на сайт vid4droid.com. При этом на удаленном сервере на основе referrer'а (уникального URL с ID партнера) генерировалась уникальная последовательность букв и чисел. На сайте vid4droid.com пользователю предлагалось под видом порно-приложения загрузить файл vid4droid.apk, который и являлся троянцем Vidro.
Попав на мобильное устройство пользователя, троянец отправлял на польский платный номер 72908 SMS с текстом «PAY {уникальная последовательность букв и чисел}» — с той самой уникальной последовательностью, которая была сгенерирована на основании URL и ID партнера. Таким образом, каждый партнер крал деньги пользователей с помощью «собственного» SMS-троянца, отправляющего SMS-сообщение с уникальным текстом.
Появление подобных партнерских программ за пределами России или Украины позволяет говорить о том, что полноценная индустрия мобильных вредоносных программ стала реальностью уже не только в России, но и в других странах.
Несмотря на то что Google внедрил антивирусный модуль Google Bouncer, осуществляющий автоматическую проверку всех новых приложений на Google Play (бывший Android Market), существенных изменений в среднем количестве инцидентов и в их масштабах не произошло.
Внимание общественности обычно привлекают случаи с наибольшим количеством заражений, как, например, инцидент с вредоносной программой Dougalek, которую загрузили десятки тысяч пользователей (в основном, из Японии). Это привело к одной из наиболее крупных утечек персональной информации пользователей в результате заражения мобильных устройств. Через некоторое время после данного инцидента Токийской полицией были арестованы 5 человек, подозреваемых в создании и распространении этой вредоносной программы, что стало вторым по счету арестом мобильных вирусописателей в 2012 году.
В 2012 году произошло еще одно знаковое событие: первый случай обнаружения вредоносного ПО в App Store для iOS. В самом начале июля было обнаружено подозрительное приложение под именем «Find and Call», копии которого были найдены как в App Store, так и на Android Market.
Установленное приложение Find and Call
Загрузив и запустив данное приложение, пользователь сталкивался с запросом на регистрацию в программе, для чего было необходимо ввести e-mail и телефонный номер. Если же пользователь после этого пытался с помощью приложения «найти друзей в телефонной книге», то все его контакты скрытно загружались на удаленный сервер в следующем формате:
http://abonent.findandcall.com/system/profile/phoneBook?sid=
На каждый украденный номер из телефонной книги через какое-то время приходило SMS спам-сообщение с предложением перейти по ссылке и загрузить приложение «Find and Call».
После публикации информации об этом инциденте нас стали спрашивать, почему это приложение является вредоносным. Потому что оно скрытно загружает телефонную книгу пользователя на удаленный сервер для использования в рассылках SMS-спама.
К счастью, данный инцидент пока является единственным подтвержденным случаем обнаружения вредоносной программы в App Store для iOS.
В прошлом году мы предположили, что кража данных с мобильных телефонов и слежка за объектом при помощи его телефона и геолокационных сервисов станет распространенным явлением. К сожалению, так и произошло. Количество вредоносных программ, которые по своему поведению являются либо троянцами-шпионами, либо бэкдорами, выросло в сотни раз. Стоит отметить также возросшее количество коммерческих приложений для мониторинга, которые иногда сложно отличить от вредоносных программ.
В истории мобильного шпионажа было несколько весьма примечательных эпизодов. Стоит вспомнить 2009 год, когда под видом обновления безопасности пользователям Blackberry одного из крупнейших операторов ОАЭ рассылались SMS-сообщения со ссылкой на шпионское ПО. Не будем забывать и о заинтересованности правительств различных стран в получении доступа к защищенным коммуникациям, которые позволяют осуществлять смартфоны Blackberry.
Наиболее громкие и яркие события 2012 года, связанные с мобильным кибершпионажем:
Эти два случая достойны отдельного рассмотрения.
Мобильные версии FinSpy являются частью портфолио британской компании Gamma International. Впервые информация о существовании такого комплекса удаленного мониторинга появилась еще в первой половине 2011 года. В том же году появились данные, которые указывали на то, что у FinSpy есть и мобильные версии. И только в августе 2012 года организации The Citizen Lab удалось получить для анализа мобильные версии FinSpy для Android, iOS, Windows Mobile, Symbian и Blackberry.
Модификации FinSpy для различных платформ обладают во многом схожим функционалом:
Но версия для каждой платформы имеет и некоторые особенности. Например, версия FinSpy для Symbian способна делать снимки экрана; FinSpy для Blackberry также отслеживает общение в Blackberry Messenger; версия для Android способна включать/отключать режим «В самолете»; FinSpy для iOS может быть установлен на ограниченном наборе устройств с конкретными UDID; версия для Windows Mobile использует так
Любопытной особенностью всех мобильных версий FinSpy является создание и использование конфигурационного файла с именем 84c.dat. Механизмы его генерации отличаются в зависимости от операционной системы, но, в конечном счете, он содержит информацию, необходимую для работы шпионского модуля (адрес C&C-сервера, номер мобильного C&C, используемые порты и пр.).
Часть зашифрованного с помощью base64 конфигурационного файла 84c.dat для Android
НО! Основной функционал мобильных модулей FinSpy не является чем-то особенным или уникальным. Подобный набор функций нам уже неоднократно встречался в многочисленных коммерческих шпионских программах типа FlexiSpy или MobileSpy. Особенностью FinSpy является его разработчик – официально зарегистрированная в Великобритании компания, которая, судя по информации на ее официальном сайте, занимается созданием средств удаленного мониторинга для правительственных организаций.
Ответов на вопросы о том, кто есть заказчики атак FinSpy и кто конкретно оказался его жертвойна данный момент нет, и вряд ли они появятся в будущем. Однако даже без этой информации появление FinSpy означало начало новой, шпионской главы в истории мобильного вредоносного ПО.
Если к концу 2012 года у кого-то и оставались сомнения в том, что тема мобильного кибершпионажа стала весьма актуальной, то после публикации информации об операции «Red October» стало очевидно: мобильные устройства превратились в такие же мишени целевых и шпионских атак, как и обычные компьютеры.
Мы располагаем доказательствами того, что лица, стоящие за этой операцией, заинтересованы в получении информации с мобильных устройств. И эту информацию они могут получать не только с помощью вредоносного ПО для мобильных устройств, но и с помощью модулей для Windows, которые работают с подключаемыми к инфицированному компьютеру девайсами. В этой главе мы обобщим всю имеющуюся у нас информацию о мобильных модулях Red October, а также информацию, которая тем или иным образом может быть связана с ними.
Один из модулей Red October под названием RegConn ответствен за сбор системной информации и данных о программном обеспечении, установленном и используемом на зараженном компьютере. Эта информация получается с помощью чтения определенных ключей реестра (список ключей содержится в самом модуле). Среди этих ключей стоит выделить следующие:
Ключи реестра из модуля RegConn
Эти ключи реестра так или иначе имеют отношение к программному обеспечению для работы с мобильными устройствами (например, iTunes, Nokia PC Suite), которое может быть установлено на зараженном компьютере.
Другой компонент Red October был создан для работы с iPhone. Этот модуль ответствен за сбор информации со смартфона, подключаемого к зараженному этим модулем компьютеру. Для этого он использует библиотеку iTunes с именем CoreFoundation.dll. Стоит отметить, что в самом модуле предусмотрен запуск двух разных сервисов: один из них запускается, если мобильное устройство не было подвергнуто jailbreak, второй – в том случае, если устройство взломано. В любом случае модуль пытается получить:
Модуль для Nokia обладает схожим функционалом и также собирает информацию о самом устройстве, SMS/MMS сообщениях, календаре, контактах, установленных приложениях и также пытается найти и получить файлы со следующими расширениями: .txt, .cdb, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .dot, .dotx, .odt, .djvu, .odts, .reg, .rtf, .zip, .rar, .pdf, .7z, .wab, .pab, .vcf, .ost, .jpg, .waw, .mp4, .m4a, .amr, .exe, .log, .cer, .eml, .msg, .arc, .key, .pgp, .gpg. Для своей работы с подключаемым к зараженному компьютеру мобильным устройством модуль использует библиотеку ConnAPI.dll из программы PC Connectivity Solution.
Нельзя не упомянуть компоненты Red October, работающие с устройствами на базе Windows Mobile. Эти модули делятся на две группы:
У первой группы модулей нет цели собрать информацию с подключаемого устройства с ОС Windows Mobile. Их основной задачей является установка бэкдора на смартфон (или обновление бэкдора). Бэкдор-компонент, который устанавливается на смартфон модулем из первой группы, имеет внутреннее имя «zakladka».
Помимо установки бэкдора, Windows-компонент также осуществляет загрузку на устройство других исполняемых файлов, которые используются для изменения конфигурации устройства, запуска бэкдора, его обновления или удаления, а также копирования с компьютера на смартфон специального конфигурационного файла с именем winupdate.cfg.
Этот файл изначально зашифрован. В декриптованном виде он выглядит следующим образом:
Дешифрованный winupdate.cfg
Данный файл содержит информацию о кодах MСС/MNC (Mobile Country Code и Mobile Network Code – код страны и код сотового оператора). Всего мы насчитали 129 уникальных стран и более 350 сотовых операторов в этих странах.
Бэкдор-компонент zakladka определяет MCC/MNC коды смартфона и сравнивает полученную информацию с информацией из файла winupdate.cfg, записывая все это в лог-файл.
Модуль zakladka пытается в цикле работы с C&C отправить на прописанные в модуле адреса командных центров (win-check-update.com или, если этот домен недоступен, на mobile-update.com) POST-запрос следующего вида:
'POST %s HTTP/1.0 Accept: */* User-Agent: Mozilla/4.0 Content-Length: %d Host: %s'
В качестве ответа от удаленного сервера модуль получает файл, который сохраняется в \Windows\%u.exe и запускается.
Раз уж разговор зашел о C&C доменах, то, помимо win-check-update.com и mobile-update.com, нельзя не упомянуть следующие имена предполагаемых C&C, которые мы обнаружили:
Итак, подводя небольшой итог, можно сделать следующие выводы.
Во-первых, нам известно о существовании нескольких модулей Red October, которые созданы для кражи информации с различных типов мобильных устройств.
Во-вторых, есть косвенные признаки (список ключей реестра, доменные имена) того, что у Red October существовали модули для работы с другими мобильными устройствами, в частности, на базе Android и Blackberry, но на момент публикации этой статьи они нами не обнаружены.
Со времени появления вредоносных программ для мобильных устройств каждый год происходят события и инциденты, которые становятся очередной вехой в развитии мобильных зловредов. И 2012 год можно назвать, пожалуй, одним из наиболее значимых. Почему?
Во-первых, в этом году количество мобильных зловредов резко выросло.
Во-вторых, основной мишенью киберпреступников определенно стала платформа Android.
В-третьих, мобильные угрозы стали «интернациональными». Сегодня мишенью киберпреступников являются не только российские или китайские пользователи мобильных устройств, как это было ранее. Серьезные инциденты с ущербом немалых размеровбыли зафиксированы и в других странах.
В-четвертых, были получены доказательства того, что мобильные устройства и данные, которые на них хранятся, могут быть целью не только обычных киберпреступников, но и различных организаций, которые стоят за атаками, подобными Red October.
|
Вредоносные программы — Признаки заражения |
Дневник |
Компьютерный вирус — это небольшая программа, способная без ведома пользователя и вопреки его желанию самопроизвольно размножаться (саморепликация) и распространяться, нарушая работоспособность программного обеспечения компьютера.
Уголовный кодекс Российской Федерации впервые в отечественной практике установил уголовную ответственность за создание, использование и распространение вредоносных программ для ЭВМ (ст. 273). Наказуемым является «создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами».
Сам термин «Компьютерный вирус» в окончательную редакцию УК РФ не попал, хотя он присутствовал в проекте УК, отклоненном Президентом РФ.
На сегодняшний день известно очень много компьютерных вирусов.
Существует много разных версий относительно даты рождения первого компьютерного вируса. Однако большинство специалистов сходятся на мысли, что компьютерные вирусы, как таковые, впервые появились в 1986 году, хотя исторически возникновение вирусов тесно связано с идеей создания самовоспроизводящихся программ. Одним из «пионеров» среди компьютерных вирусов считается вирус «Brain», созданный пакистанским программистом по фамилии Алви. Только в США этот вирус поразил свыше 18 тысяч компьютеров. В начале эпохи компьютерных вирусов разработка вирусоподобных программ носила чисто исследовательский характер.
Вирусы действуют только программным путем. Они, как правило, присоединяются к файлу или проникают в тело файла. В этом случае говорят, что файл заражен вирусом. Вирус попадает в компьютер только вместе с зараженным файлом. Для активизации вируса нужно загрузить зараженный файл, и только после этого, вирус начинает действовать самостоятельно.
Некоторые вирусы во время запуска зараженного файла становятся резидентными (постоянно находятся в оперативной памяти компьютера) и могут заражать другие загружаемые файлы и программы. Другая разновидность вирусов сразу после активизации может быть причиной серьезных повреждений, например, форматировать жесткий диск. Действие вирусов может проявляться по-разному: от разных визуальных эффектов, мешающих работать, до полной потери информации. Большинство вирусов заражают исполнительные программы, то есть файлы с расширением .EXE и .COM. В последнее время наибольшую популярность приобретают вирусы, распространяемые через систему электронной почты.
Неспециалисты к компьютерным вирусам иногда причисляют и другие виды вредоносных программ, такие как трояны, программы-шпионы и даже спам.
В данной статье речь пойдет о вредоносных программах.
В идеале обнаружением присутствия вредоносных программ на компьютере должны заниматься антивирусы — специальные программы, способные быстро и эффективно не только обнаруживать, но и обезвреживать вредоносные программы. Однако известно, и тому есть объективные причины, что ни один антивирус не обеспечивает полную защиту от всех вредоносных программ. Следовательно, хоть и маловероятно, но возможно заражение компьютера, даже если на нем установлено антивирусное программное обеспечение. При отсутствии последнего, вероятность проникновения на компьютер вредоносных программ многократно возрастает.
Если компьютер заражен неизвестным вирусом, обычной практикой является самостоятельное обнаружение подозрительных файлов и отправка их на исследование в одну или несколько антивирусных компаний, как правило, в ту, антивирус которой установлен на компьютере. Там эти файлы анализируют и при выявлении действительно неизвестного вируса или модификации вируса, выпускается обновление антивирусных баз, позволяющее обнаруживать и удалять этот вирус.
Но чтобы отправить подозрительные файлы на анализ, нужно сначала эти файлы найти. А чтобы всерьез заняться поиском, нужно иметь основания для подозрений в том, что компьютер заражен. Для этого нужно знать, какие особенности функционирования компьютера могут быть проявлениями вредоносных программ.
Виды проявлений
Не все вредоносные программы стремятся скрыть свое присутствие на компьютере. Некоторые ведут себя весьма активно: выводят на экран сообщения, открывают страницы веб-сайтов и т.п. Такие проявления логично назвать явными.
Другие вредоносные программы специальных сообщений не выводят, но могут провоцировать разного рода сбои в работе компьютера или прикладных программ. Например, одним из признаков попытки проникновения червя «Sasser» является появление на экране сообщения о сбое в процессе lsass.exe, в результате чего система будет перезагружена. Сейчас для примера спровоцируем данное событие:
Сообщение будет отличаться, а именно в нем будет фигурировать lsass.exe, но смысл останется прежним, система будет перезагружена. На сохранение и завершение работы компьютера отводится минута времени.
Историческая справка: Компьютерный вирус Sasser — почтовый червь, эпидемия которого началась 30 апреля 2004 года.
В течении нескольких дней вирус «заразил» порядка 250 тысяч компьютеров по всему миру 3-ий по величине банк Финляндии вынужден был закрыть на несколько часов 120(!) своих офисов, пока в системе устанавливали заплаты. Когда червь проникал в машину, он сканировал интернет для поиска других компьютеров с незакрытой «дырой» и рассылал им вирус. Но особого вреда вирус не причинял — он только перезагружал компьютер. (И всего-то…) К поиску червя подключилось специальное кибберагенство ФБР. А главная жертва корпорация Microsoft назначила цену 250.000$ за «голову» злоумышленника. Им оказался ученик средней школы Свен Яшан из немецкого города Роттенбурга. Его поймали прямо за компьютером, на жестком диске которого и оказался вирус. Правда через несколько часов появилась новая версия вируса Sasser. ФБР утверждает, что Свен Яшан действовал не один. По делу Яшана возбуждено уголовное дело…
…19-летний житель немецкого города Ротенбург Свен Яшан по итогам завершившихся судебных слушаний приговорен к условному тюремному сроку в 1 год и 9 месяцев, сообщает BBC News. Как известно, Яшан обвиняется в создании нескольких компьютерных вирусов, которые стали причиной целого ряда глобальных эпидемий, нанесших мировой экономике ущерб на многие миллионы долларов. Наибольшую известность получили вирусы Sasser и NetSky, видоизмененные варианты которых до сих пор циркулируют в Сети и занимают места в верхних позициях вирусных рейтингов.
Суд признал Яшана виновным в промышленном саботаже и неправомерном модифицировании программных продуктов. От тюрьмы его спасло только то, что на момент совершения преступлений, в которых он ранее чистосердечно признался, ему было 17 лет, то есть он являлся несовершеннолетним.
Как известно, в свое время за информацию об авторах Sasser и NetSky компания Microsoft, производящая ОС Windows, «дыры» в которой эксплуатировали эти вирусы, назначала награду в 250 тысяч долларов. Предположительно, это помогло полиции выйти на Яшана и задержать его В ходе расследования, не дожидаясь суда, Яшана взяла на работу специализирующаяся на компьютерной безопасности немецкая фирма Securepoint.
Далее, многие вредоносные программы пытаются отключить или полностью удалить антивирус, другие блокируют доступ к веб-серверам антивирусных компаний, чтобы сделать невозможным обновление антивирусных баз. Соответственно, если антивирус вдруг ни с того, ни с сего перестал запускаться, либо перестали открываться сайты антивирусных компаний при том, что в целом доступ в Интернет работает нормально, это могут быть проявления вирусов. Такого рода проявления будут называться косвенными.
Наконец, есть вирусы, которые никак не выдают своего присутствия на компьютере, не выводят сообщений и не конфликтуют с другими приложениями. Их проявления незаметны на первый взгляд и могут состоять в наличии дополнительных процессов в памяти, в сетевой активности, в характерных изменениях системного реестра Windows. Такие проявления будут называться скрытыми.
Таким образом, проявления вредоносных программ можно условно разбить на три группы по тому, насколько легко их обнаружить:
Явные — вредоносная программа самостоятельно проявляет заметную активность.
Косвенные — другие программы начинают выводить сообщения об ошибках или вести себя нестандартно из-за присутствия на компьютере вируса.
Скрытые — ни явных, ни косвенных проявлений вредоносная программа не имеет.
Обсудим все три группы проявлений подробнее и на конкретных примерах.
ЯВНЫЕ ПРОЯВЛЕНИЯ
Характерны для троянских и в особенности для рекламных программ. Это и понятно, т.к. основным признаком вирусов и червей является способность к заражению, для реализации которой необходимо время. Если сетевой червь при проникновении на компьютер сразу же себя обнаружит, пользователь сможет отключить компьютер от сети, воспрепятствовав дальнейшему распространению вредоносной программы.
Напротив, троянские программы пишутся для выполнения какой-то конкретной вредоносной функции и скрытность им нужна в большей степени на этапе проникновения. Впрочем, все зависит от типа «трояна». С рекламными модулями все совсем просто: их основная цель — привлечение внимания к объекту рекламы (веб-сайту, программе и др.), а привлечь внимание, значит обнаружить свое присутствие.
Историческая справка: Троянская программа (она же «троян», она же «троянец», она же «троянский конь», она же «трой») — вредоносная программа, проникающая на компьютер под видом безвредной — кодека, скринсейвера, хакерского ПО и т.д.
«Троян» не имеют собственного механизма распространения, и этим отличаются от вирусов, которые распространяются, прикрепляя себя к безобидному ПО или документам, и «червей», которые копируют себя по сети. Впрочем, троянская программа может нести вирусное тело — тогда запустивший «троянца» превращается в очаг «заразы».
Троянские программы крайне просты в написании: простейшие из них состоят из нескольких десятков строк кода на Visual Basic или C++.
Название «троянская программа» происходит от названия «троянский конь» — деревянный конь, по легенде, подаренный древними греками жителям Трои, внутри которого прятались воины, впоследствии открывшие завоевателям ворота города. Такое название, прежде всего, отражает скрытность и потенциальное коварство истинных замыслов разработчика программы.
В настоящее время явные проявления, как правило, так или иначе связаны с сетью Интернет. Перечислим явные проявления:
Изменение настроек браузера
Изменение стартовой страницы браузера, изменение стандартной страницы поиска, несанкционированное открытие новых окон, ведущих на определенные сайты — все это может быть следствием присутствия в системе вредоносной программы.
Иногда к аналогичным эффектам может приводить выполнение вредоносного скрипта на одном из посещенных сайтов. В таком случае новые программы на компьютер не проникают, а настройки браузера с большими или меньшими усилиями можно восстановить и полностью решить проблему. Во всяком случае до следующего посещения сайта с вредоносным скриптом.
Если же после восстановления настроек они снова меняются при следующем запуске браузера или после перезагрузки компьютера, значит причина изменений — наличие на компьютере вредоносной программы.
Подобное поведение характерно для рекламных модулей, принудительно завлекающих пользователей на сайт, рекламирующий какую-либо продукцию. А также для троянских программ, которые направляют пользователя на сайты, содержащие другие вредоносные программы.
Всплывающие и другие сообщения
После установки в системе троянская или рекламная программа выводит на экран сообщения о том, что на компьютере обнаружены вредоносные или рекламные программы. Такие сообщения обычно сделаны похожими на стандартные служебные сообщения Windows и снабжены гиперссылками или кнопками для перехода на веб-сайт, с которого якобы можно загружать программу для обнаружения и удаления нежелательных модулей.
Несмотря на то, что проявления достаточно явные — сообщения на экране, в силу их маскировки под служебные сообщения, пользователь не всегда догадывается, что это результат работы вредоносных программ и в результате попадает на те же рекламные или вредоносные сайты, но уже сам.
Несанкционированный дозвон в интернет
Не так давно получили распространения особые вредоносные программы — утилиты дозвона. Эти утилиты без санкции пользователя и игнорируя настройки пытаются установить модемное соединение с интернетом через дорогую телефонную линию или дорогого провайдера. В результате владелец компьютера получает счет на внушительную сумму.
Следовательно, признаком заражения может быть несанкционированные попытки компьютера соединиться с интернетом по модему.
КОСВЕННЫЕ ПРОЯВЛЕНИЯ
В отличие от явных проявлений, косвенные проявления отнюдь не всегда являются преднамеренными и нередко вызваны ошибками, допущенными автором вредоносной программы.
Блокирование антивируса
Обычно вредоносная программа проникает на защищенный антивирусом компьютер либо если антивирус был отключен, либо если это сравнительно новая вредоносная программа, для которой еще не было записи в антивирусной базе. Понятно, что в скором времени антивирус будет включен, либо вирус будет внесен в антивирусную базу, и антивирус сможет его обнаружить и обезвредить. Чтобы воспрепятствовать этому, многие вредоносные программы небезуспешно пытаются выгрузить антивирус из памяти или даже удалить файлы антивируса с дисков компьютера.
Поэтому внезапное завершение работы антивируса вполне может являться поводом для беспокойства.
Блокирование антивирусных сайтов
Поскольку выгрузка или удаление антивируса все же достаточно заметны, некоторые вредоносные программы идут другим путем и нейтрализуют только возможность обновления антивирусных средств. Если антивирусная база не будет обновляться, антивирус не сможет обнаруживать новые вирусы и станет неэффективным.
При этом вредоносные программы не блокируют доступ в Интернет целиком — это было бы слишком заметно, а только доступ к сайтам и серверам обновлений наиболее известных компаний — производителей антивирусов. В среднем, пользователи не часто заходят на сайты антивирусных компаний, а сообщения антивируса о невозможности обновиться могут списывать на проблемы у провайдера или на самих серверах обновления. Таким образом, вирус может длительное время оставаться незамеченным.
Сбои в операционной системе или в работе программ
Очень часто причиной сбоев в работе программ пользователи считают присутствие на компьютере вирусов. И хотя большинство подобных случаев на поверку оказывается ложной тревогой, вирусы действительно иногда могут быть причиной сбоев.
Кроме уже рассмотренного примера с червем «Sasser», можно еще упомянуть червь «MyDoom», вызывавший похожее сообщение об ошибке, но не в службе LSASS, а в службе DCOM/RPC.
Историческая справка: «MyDoom» (известен также как «Novarg») — почтовый червь для Microsoft Windows и Windows NT, эпидемия которого началась 26 января 2004.
Распространялся по электронной почте и через файлообменную сеть «Kazaa». Файл-носитель червя имеет размер около 28 килобайт и содержит текстовую строку «sync-1.01; andy; I’m just doing my job, nothing personal, sorry».
При заражении компьютера «MyDoom» модифицирует операционную систему, блокируя доступ к сайтам многих антивирусных компаний, новостным лентам и различным разделам сайта компании Microsoft. В период с 1 по 12 февраля «MyDoom.A» проводил DDoS-атаку на сайт Microsoft, а «MyDoom.B» — на сайт SCO Group.
За несколько дней до того SCO Group заявила, что подозревает в создании червя сторонников операционной системы GNU/Linux, в которой якобы использовался принадлежавший SCO код, и объявила награду в 250.000$ (какая-то популярная цифра у них там видимо за информацию, которая поможет поймать создателей MyDoom.
Кстати, Microsoft тоже 250 тысяч вечнозеленых предлагала, итого 500.000$.
Историческая справка: DDoS-атака — сокращение от Distributed Denial of Service Attack. Особенностью данного вида компьютерного преступления является то, что злоумышленники не ставят своей целью незаконное проникновение в защищенную компьютерную систему с целью кражи или уничтожения информации. Цель данной атаки — парализовать работу атакуемого веб-узла.
Первые сообщения о DDoS-атаках относятся к 1996 году. Но всерьез об этой проблеме заговорили в конце 1999 года, когда были выведены из строя веб-серверы таких корпораций, как Amazon, Yahoo, CNN, eBay, E-Trade и ряда других, немногим менее известных. Спустя год, в декабре 2000-го «рождественский сюрприз» повторился: серверы крупнейших корпораций были атакованы по технологии DDoS при полном бессилии сетевых администраторов. С тех пор сообщение о DDoS-атаке уже не являются сенсацией. Главной опасностью здесь является простота организации и то, что ресурсы хакеров являются практически неограниченными, так как атака является распределенной.
Схематически DDoS-атака выглядит примерно так: на выбранный в качестве жертвы сервер обрушивается огромное количество ложных запросов со множества компьютеров с разных концов света. В результате сервер тратит все свои ресурсы на обслуживание этих запросов и становится практически недоступным для обычных пользователей. Циничность ситуации заключается в том, что пользователи компьютеров, с которых направляются ложные запросы, могут даже не подозревать о том, что их машина используется хакерами. Программы, установленные злоумышленниками на этих компьютерах, принято называть «зомби». Известно множество путей «зомбирования» компьютеров — от проникновения в незащищенные сети, до использования программ-троянцев. Пожалуй, этот подготовительный этап является для злоумышленника наиболее трудоемким.
Но вернемся к основному материалу статьи, другой пример косвенных проявлений, троянская программа Backdoor.NTHack, результатом присутствия которой на компьютере может быть сообщение об ошибке, возникающее при загрузке компьютера:
STOP 0x0000001e KMODE_EXCEPTION_NOT_HANDLED in win32k.sys
или
STOP 0xC000021A {Fatal System Error}
The Windows Logon Process terminated unexpectedly.
Детальную информацию о подобных критических ошибках ОС Windows, Вы сможете получить, прочитав статью «Синий экран смерти».
Почтовые уведомления
Если компьютер заражен и рассылает инфицированные почтовые сообщения, они могут быть обнаружены на одном из серверов в Интернете и антивирус на сервере может отправить уведомление отправителю зараженного сообщения. Следовательно, косвенным признаком присутствия вируса может быть получение почтового сообщения о том, что с почтового адреса пользователя компьютера был отправлен вирус.
Впрочем, в последнее время многие вирусы подменяют адрес отправителя и получение описанного уведомления не обязательно означает, что компьютер заражен. Из-за того, что формальный адрес отправителя, указанный в почтовом сообщении, может не иметь никакого отношения к зараженному компьютеру, антивирусные программы часто вообще не отсылают уведомлений отправителям зараженных сообщений.
СКРЫТЫЕ ПРОЯВЛЕНИЯ
В отсутствие явных или косвенных проявлений о присутствии вируса можно судить, например, по необычной сетевой активности, когда ни одно сетевое приложение не запущено, а значок сетевого соединения сигнализирует об обмене данными. Другими признаками могут служить незнакомые процессы в памяти или файлы на диске.
Однако в настоящее время на компьютерах обычно установлено так много различных программ, что большинство файлов и процессов неизвестны обычному пользователю. В то же время поиск скрытых проявлений это уже фактически поиск тех самых подозрительных файлов, которые нужно отправить на анализ в антивирусную компанию.
Где искать «подозрительные» файлы?
Как видно, ни косвенные, ни даже явные проявления не могут служить основанием для уверенности в том, что компьютер заражен. Всегда существует вероятность, что наблюдаемый эффект не является результатом действий вируса, а вызван обычными ошибками в используемых программах или же вредоносными скриптами, которые не оставили никаких файлов на компьютере.
Для того чтобы подозрения переросли в уверенность нужно произвести дополнительный поиск скрытых проявлений вредоносных программ, имея конечной целью обнаружение файлов вредоносной программы.
Скрытые проявления включают в себя: — наличие в памяти подозрительных процессов; — наличие на компьютере подозрительных файлов; — наличие подозрительных ключей в системном реестре Windows; — подозрительная сетевая активность.
Ключевым признаком во всех случаях является атрибут «подозрительный». Что это означает? Это означает, что пользователю неизвестно назначение данного процесса, файла или ключа, и более того, информации о подозрительном объекте нет ни в документации к операционной системе, ни в открытых источниках сети Интернет.
Но прежде чем судить о подозрительности файлов и процессов, нужно сначала их выделить из общего числа и на этом имеет смысл остановиться более подробно.
1. Подозрительные процессы
Процесс — это фактически запущенный исполняемый файл. Часть процессов относится к операционной системе, часть к запущенным программам пользователя.
Чтобы получить список процессов, нужно вызвать «Диспетчер задач Windows» — стандартное средство ОС для управления процессами. В операционных системах Windows NT/2000/XP/2003 для вызова диспетчера задач нужно нажать комбинацию клавиш <Ctrl+Shift+Esc> или вызвать контекстное меню в системной панели «ПУСК» и выбрать пункт Диспетчер задач.
На закладке «Процессы» в колонке «Имя образа» содержатся имена файлов, которым соответствуют запущенные процессы. Найти информацию о неизвестном процессе можно в сети Интернет.
В Windows 98 «Диспетчер задач Windows» вызывается нажатием клавиш <Ctrl+Alt+Del> и выглядит иначе.
Вместо стандартного диспетчера задач Windows рекомендую пользоваться программой «Process Explorer»
«Process Explorer» — компактная, но мощная программа с удобным интерфейсом для мониторинга в режиме реального времени происходящих в системе процессов.
Выдает подробнейшую информацию обо всех запущенных процессах, включая владельца, использование памяти, задействованные библиотеки и т.д. Имеет мощную систему поиска, позволяющую искать процессы, открывающие специфический дескриптор или загружающую определенную DLL.
Кроме этого, «Process Explorer» допускает изменение приоритетов процессов и их «убийство».
Работает без инсталляции, поддерживает ОС: 98/2K/XP/Vista, язык: Английский.
2. Автозапуск
Отличительным признаком большинства червей и многих троянских программ является изменение параметров системы таким образом, чтобы файл вредоносной программы выполнялся автоматически при каждом запуске компьютера. Поэтому наличие незнакомых файлов в списке файлов автозапуска также является поводом для пристального изучения этих файлов.
Где находится информация об автоматически запускаемых файлах? В множестве разных мест, и поэтому имеет смысл рассмотреть их по отдельности.
2.1. Автозагрузка в меню «ПУСК»
Наиболее известный источник файлов автозапуска — это папка Автозагрузка в меню Программы, доступном при нажатии кнопки Пуск. Ярлыки, находящиеся в этой папке соответствуют запускаемым программам. Собственно имя запускаемого файла, можно определить через свойства ярлыка.
Однако в связи с тем, что папка Автозагрузка известна большинству пользователей, вредоносные программы редко используют ее для автозапуска, предпочитая менее заметные способы.
2.2. Системный реестр Windows
В последнее время стандартным способом настройки автозапуска для большинства программ является использование специальных ключей реестра Windows.
Системный реестр Windows — это основное хранилище большинства настроек операционной системы и многих приложений. Для доступа к системному реестру используется системная утилита regedit.exe, расположенная в папке операционной системы.
В левой его части находится дерево ключей реестра, ключи изображены в виде папок. В правой части окна отображаются записи, относящиеся к выбранному ключу. В ключе могут находиться и записи — параметры настройки, и другие ключи — группы параметров настройки.
На верхнем уровне реестр делится на несколько веток (пять или шесть, в зависимости от версии Windows). C точки зрения автозапуска наиболее важны две ветки:
HKEY_CURRENT_USER — ветка ключей, относящихся к текущему пользователю, часто сокращенно обозначается как HKCU.
HKEY_LOCAL_MACHINE — ветка ключей, относящихся к компьютеру в целом, сокращается до HKLM.
Для настройки автозапуска в реестре Windows предназначено несколько ключей:
Первая группа находится в ключе HKCU\Software\Microsoft\Windows\CurrentVersion, все ключи, относящиеся к автозагрузке, начинаются с Run. Эти программы запускаются только при входе в систему текущего пользователя. В зависимости от операционной системы это могут быть ключи:
Run — основной ключ автозапуска;
RunOnce — служебный ключ для программ, которым требуется запуститься только один раз;
RunServices — ключ для запуска служб в Windows 98/Me;
Другая группа находится в ключе HKLM\Software\Microsoft\Windows\CurrentVersion, т.е. в аналогичном ключе, но в настройках, относящихся к компьютеру в целом, а значит, ко всем пользователям. Имена ключей такие же:
RunServicesOnce — служебный ключ для служб, которым требуется однократный запуск
Run
RunOnce
RunServices
RunServicesOnce
Каждая запись в ключе автозапуска соответствует одной запускаемой программе. Запись состоит из имени записи, типа записи (для параметров автозапуска тип записи — строковый, обозначается как REG_SZ) и значения, которое и является строкой запуска, т.е. включает имя исполняемого файла и параметры командной строки.
В зависимости от настроек Windows и установленных программ ключи автозапуска могут содержать множество различных строк для запуска различных программ. Поэтому все на первый взгляд подозрительные файлы нужно перепроверять — они могут оказаться вполне обычными программами.
Ни в коем случае не следует изменять настройки системного реестра наугад — это может привести к полной неработоспособности компьютера и необходимости переустанавливать операционную систему. Вносить изменения в реестр можно только будучи абсолютно уверенным в своих действиях и полностью осознавая характер и последствия производимых модификаций.
2.3. Конфигурационные файлы win.ini и system.ini
Настроить автозапуск программ можно и в системных файлах Windows — system.ini и win.ini. Эти файлы используются (преимущественно, использовались) в Windows 3.x, 9x, Me для хранения системных настроек. В Windows NT, 2000, XP аналогичные настройки перенесены в системный реестр, но старые конфигурационные файлы сохранены в целях обеспечения совместимости со старыми же программами, поэтому рассмотрим их более подробно.
Конфигурационные файлы win.ini и system.ini разбиты на секции. Название каждой секции заключено в квадратные скобки, например, [boot] или [windows].
В файле win.ini строки запуска программ выглядят так:
Load=<строка запуска>
Run=>строка запуска>
Анализируя такие строки можно понять, какие файлы запускаются при старте компьютера.
В файле system.ini есть ровно одна строка, через которую чаще всего запускаются вирусы, расположена в секции [boot]:
shell=<имя программной оболочки Windows>
Во всех версиях Windows стандартной программной оболочкой является explorer.exe. Если в строке shell= указано что-то отличное от explorer.exe, это с большой вероятностью вредоносная программа. Справедливости ради, нужно отметить, что существуют легальные программы, являющиеся альтернативными программными оболочками Windows. Такие программы могут изменять значение параметра shell в файле system.ini.
В Windows NT, 2000, XP и 2003 параметры стандартной оболочки задаются в реестре, в ключе HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinLogon в параметре shell. Значение этого параметра также в подавляющем большинстве случаев должно быть explorer.exe.
2.4. Другие источники
Вместо того чтобы собирать информацию об автоматически запускаемых приложениях из разных источников, можно воспользоваться системной утилитой msconfig.exe. Эта утилита входит в состав Windows 98, Me, XP и 2003 и предоставляет сводную информацию обо всех источниках объектов автозапуска.
Для получения дополнительной информации читайте статью «Что делать без антивируса, когда он так необходим?».
На закладке «Автозагрузка» собраны данные о запускаемых программах из реестра и меню Пуск. В колонке Элемент автозагрузки приводится имя записи в реестре или имя ярлыка в меню Пуск. В колонке Команда — строка запуска программы, в колонке Расположение — ключ реестра, в котором расположена соответствующая запись, или Common Startup — для ярлыков меню Пуск.
Данные о настройках файлов system.ini и win.ini расположены на одноименных закладках. Кроме этого имеется закладка «Службы», содержащая информацию о запускаемых службах в Windows XP.
Службы — это служебные компоненты Windows или прикладных программ, которые запускаются при старте компьютера, еще до того, как пользователь вошел в систему. Службы отвечают, например, за вывод на печать, за обнаружение новых устройств, за обеспечение сетевого взаимодействия компьютеров и т.п. Но в качестве служб могут регистрироваться и некоторые вредоносные программы.
В то же время, обращаться со службами нужно не менее осторожно, чем с настройками реестра. Отключение важных служб может привести к тому, что компьютер вообще не загрузится.
3. Сетевая активность
Вредоносные программы могут проявляться не только в виде подозрительных процессов или файлов автозапуска, но и в виде сетевой активности. Черви используют сеть для распространения, троянские программы — для загрузки дополнительных компонентов и отсылки информации злоумышленнику.
Некоторые типы троянских программ специально предназначены для обеспечения удаленного управления зараженным компьютером. Для обеспечения доступа к компьютеру по сети со стороны злоумышленника они открывают определенный порт.
Что такое порт?
Как известно, каждый компьютер обладает IP-адресом, на который этому компьютеру можно передавать данные. Но если на компьютере имеется несколько программ, работающих с сетью, например, почтовый сервер и веб-сервер, как определить, какие данные какой программе предназначены? Для этого и используются порты. За каждой программой, ожидающей данные из сети закрепляется определенное число — номер порта, а данные, пересылаемые на компьютер, кроме адреса компьютера содержат также и номер порта, чтобы было понятно, какая программа должна получить эти данные.
Как правило, похожие по назначению программы используют одни и те же порты для приема соединений. Почтовый сервер использует порт 25 для приема исходящих писем от почтовых клиентов. Веб-сервер использует порт 80 для приема соединений от браузеров. Впрочем, никаких принципиальных ограничений на использование портов нет, кроме того, что две программы не могут использовать один и тот же порт.
Аналогично почтовому серверу, вредоносные программы для приема команд или данных от злоумышленника используют определенный порт, постоянно ожидая сигналов на этот порт. В таких случаях принято говорить, что программа «слушает порт».
Определить, какие порты «слушаются» на компьютере можно при помощи команды netstat -n. Для ее выполнения сперва нужно запустить командную оболочку. В случае Windows NT, 2000, XP и 2003 она запускается командой cmd.exe, а в Windows 98 и Me — command.com. Для запуска используются команды «Выполнить…» в меню «ПУСК».
После выполнения в командной оболочке команды netstat -a в том же окне отображаются данные об установленных соединениях и открытых портах (тех, которые «слушаются»).
Результатом выполнения команды является список активных подключений, в который входят установленные соединения и открытые порты.
Открытые TCP-порты обозначаются строкой LISTENING в колонке состояние. Часть портов связана с системными службами Windows и отображается не по номеру, а по названию epmap, microsoft-ds, netbios-ns. Порты, не относящиеся к стандартным службам, отображаются по номерам.
UDP-порты обозначаются строкой UDP в колонке «Имя». Они не могут находиться в разных состояниях, поэтому специальная пометка LISTENING в их отношении не используется. Как и TCP-порты, они могут отображаться по именам или по номерам.
Для обмена данными между компьютерами могут использоваться различные протоколы, т.е. правила передачи информации. Понятие портов связано с использованием протоколов TCP и UDP. Не вдаваясь в подробности, стоит отметить, что в большинстве случаев применяется протокол TCP, но UDP также необходим для работы ряда служб и поддерживается всеми современными операционными системами.
Порты, используемые вредоносными программами, чаще всего являются нестандартными и поэтому отображаются согласно их номерам. Впрочем, могут встречаться троянские программы, использующие для маскировки стандартные для других приложений порты, например 80, 21, 443 — порты, используемые на файловых и веб-серверах.
Просто обнаружить неизвестные системе (и пользователю) порты мало. Нужно еще узнать, какие программы используют эти порты. Команда netstat не позволяет этого сделать, поэтому потребуется воспользоваться сторонними утилитами, например, замечательной утилитой TCP View (Архив WinRAR: 191 КБ (196 417 байт)). Эта утилита отображает более полную информацию о подключениях, включая данные о процессах, слушающих порты.
Как несложно заметить, утилита TCPView отображает те же данные, что и команда netstat -a, но дополняет их информацией о процессах.
Итак, что же делать с результатами поиска?
По результатам анализа процессов, параметров автозагрузки и соединений получен список подозрительных с точки зрения пользователя процессов (имен файлов). Для неопытного пользователя неизвестных, а значит, что подозрительных имен файлов может оказаться слишком много, поэтому имеет смысл выделить наиболее подозрительные из них — те, которые были обнаружены в двух и более источниках. Например, файлы, которые присутствуют в списке процессов и в списке автозагрузки. Еще более подозрительными являются процессы, обнаруженные в автозагрузке и слушающие порты.
Для выяснения природы подозрительных процессов проще всего использовать Интернет. В глобальной сети имеются сайты, собирающие информацию о различных процессах. Данных по всем процессам вредоносных программ на таких сайтах может и не быть, но во всяком случае на них есть информация о большом количестве неопасных процессов и таким образом можно будет исключить из списка те процессы, которые относятся к операционной системе или известным невредоносным программам. Одним из таких сайтов является:
http://localhost:3232/external/?popup=0&url=http%3A%2F%2Fwww.processlibrary.com
После того, как список подозрительных процессов максимально сужен и в нем остались только те, о которых нет исчерпывающей и достоверной информации, остается последний шаг, найти эти файлы на диске и отправить на исследование в одну из антивирусных компаний для анализа.
В качестве завершения статьи, приведу короткую справку с сайта Microsoft, в которой перечислены основные признаки наличия вирусов на компьютере.
«…
Вот несколько основных признаков того, что компьютер может быть заражен вирусом:
• Компьютер работает медленнее, чем обычно;
• Компьютер перестает отвечать на запросы и часто блокируется;
• Каждые несколько минут происходит сбой и компьютер перезагружается;
• Компьютер самопроизвольно перезагружается и после этого работает со сбоями;
• Установленные на компьютере приложения работают неправильно;
• Диски или дисководы недоступны;
• Не удается выполнить печать;
• Появляются необычные сообщения об ошибках;
• Открываются искаженные меню и диалоговые окна.
…»
Кстати, на сайте Microsoft вы можете скачать средство удаления вредоносных программ Microsoft.
И на последок, дополним список признаков:
· вывод на экран монитора компьютера неожиданных сообщений или изображений, не запланированных действиями пользователя или действиями программ работающих в данный момент;
· подача произвольных звуковых сигналов;
· произвольный запуск программ;
· сообщение сетевого экрана, если такой есть в наличии, о несанкционированном обращении незнакомых программ к ресурсам в сети;
· друзья или знакомые сообщают вам о получении писем от вас, которые вы не отправляли;
· друзья или знакомые жалуются, что вы присылаете им письма с вирусами;
· на ваш почтовый ящик приходит много писем без обратного адреса или заголовка;
· на ваш почтовый ящик приходят письма с отчетом о не доставки до адресата, так как такого адреса не существует или ящик переполнен;
· компьютер часто зависает, присутствуют постоянные сбои при работе программ;
· компьютер медленно работает при запуске некоторых программ;
· компьютер зависает на несколько секунд, потом работа продолжается в обычном режиме;
· операционная система загружается долго или вообще не грузится;
· пропадают файлы или каталоги;
· искажается информация в некоторых файлах или каталогах;
· неожиданно появляются файлы или каталоги со странными именами;
· компьютер часто обращается к жесткому диску, хотя ни какие программы не запускались и в данный момент не функционируют;
· постоянное обращение к дисководу (будет слышен характерный «треск»);
· самопроизвольно открывается/закрывается лоток привода CD-ROM;
· без видимых причин перестал открываться «Диспетчер задач Windows»;
· запрет на изменение настроек операционной системы и/или учетной записи администратора;
· интернет-браузер ведет себя странным образом, часто зависает, самостоятельно изменяется стартовая страница, спонтанно открываются несанкционированные страницы, предлагает загрузить файл из Интернета.
Автор: Василий Седых
Дата: 2010−02−04
|
Win32.Induc.2 — новый троянец в среде Delphi |
Дневник |
12 августа 2011 г.
Компания «Доктор Веб» — ведущий российский разработчик средств информационной безопасности — сообщает о появлении новой угрозы, добавленной в вирусные базы под именем Win32.Induc.2. Этот троянец заражает среду разработки Delphi таким образом, что все созданные с ее помощью приложения оказываются инфицированными вредоносным ПО. Основное отличие Win32.Induc.2 от Win32.Induc заключается в том, что новая версия троянца несет в себе функциональную нагрузку, а не просто способна создавать собственные копии.
Win32.Induc.2 написан на языке Delphi. Троянец прописывает ярлык своего исполняемого файла в стандартной папке автозагрузки Windows под именем APMV и снабжает его случайным ярлыком. Стартовав при следующем запуске операционной системы, Win32.Induc.2 выполняет поиск папки, в которую установлена среда разработки Delphi, записывает копию самого себя в файл defines.inc и модифицирует файл sysinit.pas таким образом, что при запуске инфицированной программы троянец сохраняется в файле с именем ~.exe и запускается на выполнение.
Затем Win32.Induc.2 осуществляет пересборку модуля sysinit, вслед за чем возвращает содержимое папки Source в исходное состояние с целью затруднить определение присутствия вредоносной программы в системе. Полученный в результате компиляции dcu-файл троянец помещает в папку /lib, что приводит к заражению всех создаваемых пользователем Delphi программ.
Троянец пытается отыскать и заразить все копии среды разработки Delphi, расположенные на дисках инфицированного компьютера. Одновременно с этим Win32.Induc.2 осуществляет мониторинг запущенных процессов и автоматически завершается, если пользователь пытается открыть окно Диспетчера задач.
Как уже упоминалось, данная модификация троянца несет определенную функциональную нагрузку, которая реализована весьма любопытным образом. Во вредоносном файле «зашито» несколько URL, ссылающихся на «аватарки» пользователей ряда интернет-форумов. Внутри самих «аватарок», в свою очередь, скрыта закодированная строка, содержащая другой URL, по которому троянец скачивает с удаленного узла зашифрованный exe-файл. Таким образом, в Win32.Induc.2 реализована функция загрузки и запуска исполняемых файлов, способных нанести вред операционной системе.
Сигнатура троянца Win32.Induc.2 уже добавлена в вирусные базы Dr.Web, а сама вредоносная программа удаляется при сканировании дисков компьютера. Специалисты компании «Доктор Веб» еще раз обращают внимание пользователей на необходимость использовать обновленное антивирусное ПО и проводить регулярную проверку системы на наличие новых угроз.
Метки: Delphi programs Trojan virus Win32.Induc.2 вирус Доктор Веб Касперский программы среда троян троянец |
Компьютерные байки |
Дневник |
-Компьютер не обязан хорошо работать.
-Компьютер не обязан работать.
-Компьютер ВООБЩЕ ничем вам не обязан.
-Компьютер всегда не прав.
-Пользователь всегда прав, но компьютер об этом не
знает.
-Если пользователь не прав, то это проблемы
пользователя.
-Если прав компьютер, то это тоже проблемы
пользователя.
-Если пользователь говорит, что компьютер прав, то
этот пользователь – компьютер.
-Если компьютер говорит, что он прав, то
пользователь серьезно болен.
-Если пользователь верит компьютеру, то он не
пользователь.
-Если компьютер не верит пользователю, то он тоже
пользователь.
-Если пользователь хочет стать компьютером, то он
станет им.
-Если компьютер не включается, он не виноват.
-Если компьютер не выключается, то он сервер.
-Если компьютер не включается и не выключается, то
он – пользователь.
-Поскольку пользователи пользоваться компьютером не
умеют, то он пользуется этим и пользует пользователей, которые пользуются
пользователем пользователей, не используя его полезных пользовательских
возможностей, что позволяет пользоваться ими тому, кого они сами должны
использовать для пользы дела.
Метки: antivirus users virus интернет компьютер пользователи программы |
Страницы: | [1] |