Все разделы сайта casino619.ru

Вредоносные программы

Трояны вирусы атакуют компьютеры - вымогатели денег

Наступил Новый год. Во всем мире праздничное затишье: офисы и магазины закрыты, на улицах почти никого. Все отдыхают после главного праздника и готовятся отмечать новые. Но на компьютерном фронте горячая пора - атака новых вредоносных программ!

Свежие новости о компьютерных преступлениях и вирусных угрозах июня 2010 года - как вирус блокирует компьютер

Но не везде ситуация так спокойна и благополучна: русский сектор Интернета все еще лихорадит после масштабной эпидемии, которую устроили в конце уходящего года многообразные троянские вымогатели.

Для справки: троянский вымогатель (Trojan-Ransom) - вредоносная программа, нарушающая целостность пользовательских файлов, работоспособность отдельного программного обеспечения или операционной системы в целом, и требующая от пользователя заплатить за восстановление нарушенного функционала или поврежденных файлов.

Надо, однако, признать, что функционал вредоносных программ все время совершенствовался, от версии к версии становясь все более изощренным.

Эпидемия троянцев набирает обороты!

В этой статье мы и поговорим о том, как развивались вредоносные продукты, сходившие с конвейера "фабрики вымогателей".

1. Get Accelerator (Trojan-Ransom.Win32.Agent.gc)

Первым образцом троянских вымогателей, вызвавших масштабную эпидемию, был вредоносный продукт под самоназванием "Get Accelerator".

Он был занесен в базу данных "Лаборатории Касперского" как "Trojan-Ransom.Win32.Agent.gc", антивирусные продукты Dr. Web называют его "Trojan.Winlock.366", а BitDefender эвристически определил его как "Gen:Trojan.Heur.Hype.cy4@aSUBebjk".

"Get Accelerator" был, в сущности, одним из примитивных представителей продукции "фабрики вымогателей".

Пользователю отображалось обычное окно приложения без элементов управления, какое относительно просто изготовить в визуальной среде программирования, с парой угрожающих надписей и таймером; при этом нарушалась корректная работа сетевого подключения, что не позволяло пользователю выходить в сеть Интернет.

Трояны и вирусы атакуют компьютеры - троянские вымогатели

Снимок экрана компьютера, пораженного "Get Accelerator". Есть картинки-заставки и вовсе с неприличнми фотками, которые используют блокировщики компьютера

Вредоносная программа состояла из двух компонентов -
драйвера %WinDir%\dmgr134.sys и внедряемой динамической библиотеки %system32%\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll; оба компонента были отчетливо видны в результатах исследования системы AVZ, имена их были фиксированными, что позволяло составить стандартные рекомендации по их удалению.

"Get Accelerator" был актуален в течение двух недель, после чего злоумышленники запустили в производство новую версию.

2. uFast Download Manager
(Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb)

Вторым представителем семейства стал т.н. "uFast Download Manager", получивший наименования "Trojan-Ransom.Win32.SMSer.qm" и "Trojan.Win32.Agent.dapb" в базах данных "Лаборатории Касперского" и "Trojan.Botnetlog.11" - по классификации Dr. Web; BitDefender вновь определил вредоносную программу эвристически, назвав ее "BehavesLike:Trojan.UserStartup".

Атака этой вредоносной программы пришлась на начало ноября, когда первая волна "Get Accelerator" была уже погашена. На графике поисковых запросов вновь отчетливо виден эпидемический всплеск, хотя он был и не таким мощным, как у предыдущего образца.

В сравнении с "Get Accelerator" "uFast Download Manager" был устроен немного сложнее с точки зрения интерфейса и несколько проще в том, что касается реализации.

Окно, отображавшееся пользователю, приобрело "полупрозрачный" вид, исчезла и рамка окна, характерная для "Get Accelerator"; надписи и требования, однако, остались все теми же.

Вредоносные программы

Снимок экрана компьютера, пораженного "uFast Download Manager"

Основание для вымогательства также не изменилось: программа нарушала работу сетевого подключения. Иногда от пользователей поступали сообщения и о блокировке Диспетчера задач.

Вредоносный продукт на этот раз пытался имитировать "настоящий" менеджер загрузок - создавал свою папку в каталоге %UserProfile%\Application Data.

Основной компонент на сей раз был один - исполняемый файл с опять же фиксированным именем типа
%UserProfile%\APPLIC~1\UFASTD~1\PropetyuFastManage r.exe

он по-прежнему был отчетливо виден в протоколах AVZ и мог быть удален вместе с иногда застревавшим в системе дроппером при помощи стандартных рекомендаций

Просуществовав несколько недель, "uFast Download Manager" был вскоре сменен обновленной версией "Get Accelerator".

3. "Get Accelerator" - 2

После падения "uFast Download Manager" злоумышленники вернулись к "брэнду" "Get Accelerator". Под старым именем вышла новая модификация вредоносной программы, остававшаяся актуальной почти месяц.

В сравнении с предыдущими версиями авторы "продукта" сделали шаг вперед: предприняли попытку защитить свое творение от антивирусных консультантов и их инструментов.

Во-первых, появилось случайное имя вредоносного драйвера, а, во-вторых, этот же драйвер занялся маскировкой внедряемой библиотеки aekgoprn.dll, подставляя вместо пути набор цифр.

Впоследствии авторы вообще отказались от особого драйвера и вместо этого стали модифицировать системные драйвера, усложняя тем самым процедуру лечения.

С этого момента "фабрика вымогателей" уже не выпускала образцов, для которых можно было бы предложить стандартный скрипт AVZ.

Однако, как выяснилось, все это были еще цветочки. Гром грянул позже, в начале декабря.

4. iMax Download Manager
(Packed.Win32.Krap.w)

Удар, нанесенный этим вредоносным продуктом, пришелся на 8-9 декабря. "iMax Download Manager" в разы превзошел всех своих предшественников как по масштабам эпидемии, так и по вредоносному функционалу.

На момент атаки определить его были способны только продукты "Лаборатории Касперского", да и то эвристически - по подозрительному упаковщику файла.

В области вредоносного функционала авторы также продемонстрировали большой "прогресс". "iMax Download Manager", помимо традиционного вымогательства, оказался способен:

- мешать запуску и работе антивирусных инструментов и сканирующих утилит,
- блокировать Диспетчер задач и Редактор реестра,
- препятствовать загрузке Windows в безопасном режиме,
- выключать Восстановление системы Windows.

Лечение вирусов - новая модификация вредоносной программы

Снимок экрана компьютера, пораженного "iMax Download Manager"

Само собой, что о стандартных скриптах для антивирусных инструментов речь здесь уже не шла.

Усилия антивирусных консультантов сосредоточились на двух способах решения проблемы - загрузке в обход операционной системы или поиску способов подбора т.н. "кода активации".

Не успела погаснуть волна этого вредоносного ПО, как последовала еще одна - более слабая, сопоставимая с масштабами волны "uFast Download Manager".

 

4. iLite Net Accelerator (Packed.Win32.Krap.w)

Вредоносный продукт под названием "iLite Net Accelerator" - это в сущности тот же "iMax Download Manager", выпущенный под другим именем. Для него даже не потребовался отдельный бюллетень в разделе "Инфекция дня".

Отличия его от "старшего брата" незначительны и состоят скорее в типе цифрового кода для отправки в SMS-сообщении и собственно номере для отправки. Волна инфекции, однако, вышла вполне ощутимой.

В настоящее время существуют, два основных типа лечения этих троянов

Следует, однако, помнить, что каким бы вымогателем ни был поражен ваш ПК, ни в коем случае нельзя делать двух вещей:

а) выполнять требования злоумышленников и выплачивать им "выкуп",

б) заниматься самолечением или следовать советам шарлатанов от компьютерной медицины (например, "удали все файлы из папки system32" - гарантированный способ умертвить Windows).

Помимо перечисленных нами образцов, существует еще некоторое количество более мелких представителей этой группы - "File Downloader", "Toget Access" и им подобные.

Консультации по безопасности компьютера | антивирусная защита

Напишите свое мнение ниже в комментариях. Обсудим.

Поделитесь с друзьями или поставьте закладку на эту страницу,
если планируете зайти на нее позже ... (Как трояны вирусы атакуют
компьютер | Вредоносные программы лечение троянов
)



blog comments powered by Disqus

Яндекс.Метрика