Российский разработчик средств защиты от вредоносных программ и хакерских атак, сообщает о том, что в текущий момент характер заражения пользователей социальных сетей троянской программой Trojan.RpcTonzil принимает характер эпидемии.
Так, по оценке вирусной лаборатории Cezurity, сегодня этой вредоносной программой заражено не менее 50,000 участников ВКонтакте. К такому выводу привел анализ данных, получаемых с помощью Cezurity Cloud - облачной технологии антивирусной защиты нового поколения, которая способна обнаруживать подобные угрозы с помощью выявления аномалий в файлах. Большинство антивирусных продуктов способны обнаружить лишь некоторые модификации Trojan.RpcTonzil. Заражению могут быть подвержены компьютеры под управлением операционных систем Microsoft Windows, причем как 32-битных, так и 64-битных.
В результате заражения злоумышленники получают целый ряд возможностей - от получения доступа к аккаунтам в социальной сети и последующей рассылки спама с взломанных страниц до похищения персональных данных пользователей и СМС-мошенничества.
Троянская программа Trojan.RpcTonzil модифицирует запросы компьютеров к DNS-серверу. В результате при попытке зайти в социальную сеть пользователь оказывается на специально созданной злоумышленниками фишинговой web-странице, которая имитирует и практически неотличима от страницы ВКонтакте, где сообщается о том, что аккаунт социальной сети был взломан. Злоумышленники предлагают создать новый пароль и верифицировать привязку своего номера мобильного телефона к аккаунту в социальной сети. Пользователей может обмануть адрес, который отображается в адресной строке браузера - он полностью соответствует правильному и возникает ощущение, что страница действительно принадлежит ВКонтакте.
Троян также блокирует доступ к сайтам большинства антивирусных компаний и серверам обновления Microsoft. Таким образом, у антивирусных лабораторий зачастую нет достаточного количества данных для того, чтобы заметить распространение заражения. Отдельные варианты Trojan.RpcTonzil были обнаружены и детектировались антивирусными компаниями уже с начала марта этого года. Однако, на сегодняшний день распространение Trojan.RpcTonzil продолжается и большинством антивирусов вредоносная программа либо вообще не обнаруживается, либо детектируются лишь некоторые модификации.
Трудность обнаружения всех модификаций Trojan.RpcTonzil связана с тем, что в троянской программе используется достаточно сложная техника сокрытия от антивирусов. При этом на компьютеры жертв троянская программа может попадать различными способами. В некоторых случаях заражение может быть предотвращено встроенными в антивирусы поведенческими механизмами защиты.
"После заражения компьютера троянская программа существует только в зашифрованном виде. Ее расшифровка и автозапуск осуществляется с помощью небольшой модификации системной библиотеки rpcss.dll, - говорит Кирилл Пресняков, ведущий вирусный аналитик Cezurity, - троян использует технику заражения, похожую на метод EPO (Entry Point Obfuscation, скрытая точка входа). Большинство антивирусов не способно детектировать заражение, произведенное таким образом, то есть, не зная вируса "в лицо" - они могут обнаружить этот троян только по поведению. Осложняет детектирование и тот факт, что внедренный в системную библиотеку фрагмент носит условно-случайный характер".
Другим возможным препятствием для обнаружения и лечения вредоносной программы может быть географическая направленность атаки - заражение причиняет вред только пользователям российских социальных сетей.
"Эта троянская программа любопытна не как образец техники заражения - антивирусная индустрия давно знакома с похожими методами - говорит Алексей Чалей, генеральный директор Cezurity, - скорее история распространения трояна хорошо иллюстрирует сложившуюся в антивирусной индустрии ситуацию. Так, вредоносная программа известна уже три месяца, продолжает распространяться, однако, большинством антивирусных продуктов либо вообще не обнаруживается, либо они не способны корректно вылечить компьютер после заражения”.
08.05.2017 15:10
Специалистам компании «Доктор Веб» удалось обнаружить новую вредоносную активность, которая несет угрозу пользователям одной из самых популярных социальных сетей в России - «ВКонтакте». Вредоносная программа называется Trojan.MulDrop7.26387 или сокращенно MulDrop7.
Случаи заражения этим вирусом проявились вполне безобидным на первый взгляд образом. В официальной группе «Доктора Веба» в социальной сети часто начал появляться спам. Модераторы ранее успешно справлялись с такими записями, но чем чаще они стали появляться, тем больше времени требуется на его удаление. Модерторам не всегда удавалось вовремя справляться, из-за чего такой спам задерживался на странице.
Спамерские записи появлялись в качестве комментариев на страницах под разными записями. В них распространители предлагали пользователям скачать якобы лицензионные ключи для антивирусной программы Dr.Web, которые доступны совершенно бесплатно. Те пользователи, которые поведутся на такого рода сообщения и захотят воспользоваться предложенными ключами, подвергнут свой компьютер очень серьезной опасности.
Чаще всего в спам-комментариях присутствует короткая ссылка, по которой пользователю должны предоставляться те самые ключи, но вместо них на компьютер загружается вредоносная программа. Предложенная в комментариях ссылка ведет на хостинг Rghost. Как только человек кликает по ней, ему сразу же показывается предложение осуществить загрузку RAR-архива, который весит всего 26 Кбайт. Естественно, в нем нет никаких ключей для антивирусной программы, а таким способом злоумышленники вынуждают пользователей самостоятельно загрузить на свой персональный компьютер вредоносное ПО.
При попытке открыть архив, пользователь обнаружит, что в нем находится иконка обычного текстового документа. Исследователям компании удалось обнаружить несколько образцов вредоносного кода, но все они оказались абсолютно одинаковыми. Для того чтобы спрятать малварь от антивирусного ПО, хакеры каждый раз переупаковывают ее. Благодаря этому вирус может довольно долгое время распространяться и находиться на компьютере абсолютно незамеченным. Обнаружение происходит только после очередного обновления вирусных баз и попадания в них новой угрозы.
После подробного изучения зловреда специалисты «Доктора Веба» пришли к выводу, что функции, исполняемые MulDrop7, в большинстве своем очень забавные. Хотя некоторые из них могут нанести очень серьезный вред. Например, после проникновения на компьютер своей жертвы вирус налаживает связь со своим управляющим сервером и передает на него всю доступную информацию о ПК, включая наличие подключенной веб-камеры.
С помощью трояна злоумышленник может выполнять функции вроде демонстрации на экране сообщений с подготовленным заранее текстом, перезагружать ПК, произносить с помощью синтезатора речи необходимые фразы, скрывать панель задач операционной системы Windows, открывать в веб-обозревателе любую страницу, в том числе и содержащую другой вредоносный код, редактировать системный реестр, делать без ведома пользователя и передавать на системный реестр скриншоты экрана, скачивать и запускать исполняемые файлы, обновлять файл троянской программы и пр. Среди исполняемых функций есть и несколько забавных, которые не могут причинить особого вреда. К таким относится возможность задать кнопкам мыши противоположные функции, открыть и закрыть привод для оптических дисков, отключить или включить в любой момент монитор, изменить обои Рабочего стола и пр.
К самым опасным функциям этого троянца можно отнести кейлоггер. Это значит, что MulDrop7 следит за тем, какие кнопки пользователь нажимает при введении паролей, и отправляет эту информацию на удаленный сервер. Таким образом, хакеры смогут получить пароли от всех учетных записей пользователя.
В троян интегрирована еще одна функция, которая используется скорее для развлечения, чем для причинения вреда. MulDrop7 позволяет в любой момент показывать на экране ужасающие ролики.
По мнению экспертов, подобный функционал добавляют в свои вирусные программы начинающие хакеры, которые делают это ради забавы.
Трояны в последнее время очень актуальны, так как используются повсеместно:). А главное очень эффективны и просто не заменимы в натягивании ламерюг:).
Но обычно все используют уже готовые, непонятно как сделанные и кривые трояны, которые выкачиваются где-то в инете… Но при желании можно написать троян и самому, как именно - читай дальше.
Надоело тянуть файлы с помощью MAPI с удаленного компьютера? Придется писать троян, но уже управляемый по протоколу TCP/IP.
Кража денег с помощью смартфона: банковские трояны для беспечных пользователей
Кража денег с банковских счетов становится все более распространенным делом – в социальных сетях и на форумах постоянно всплывают новые истории от людей, внезапно обнаруживших свой банковский счет пустым.
И если раньше основным инструментом воровства выступала платежная карта, с которой где-то «срисовали» данные и ПИН, то сейчас вполне можно обойтись и без физического контакта с ней – достаточно доступа к смартфону или ПК, работающим с банковскими приложениями.
Пишем свой троян с нуля
Всем привет)))соглашусь, что изобретаю велосипед, но хочется сделать все своими ручками не прибегая к open source и т.п. для повышения своего опыта в программировании на Visual C++. Хочу, чтобы меня поставили на иснниный путь.
Итак, цель — написание трояна, а именно кейлоггера) для получения пароля от vk.com. Погуглил. почитал мануалы парочку часов, узнал основные схемы проникновения троянов на комп.
Написание трояна для кражи пароля вк
135 тысяч паролей от аккаунтов сети «Вконтакте» оказались в Интернете в открытом доступе. Как такое могло случиться с одной из самых популярных в Рунете социальных сетей — это одна из самых обсуждаемых тем в кириллическом сегменте Всемирной паутины. Приложение «Подводный мир 2» , заблокированное на данный момент администрацией «В контакте», подсадило вирус и украло пароли более чем у 130 тысяч пользователей.
Как взломать страницу ВК?
Сервис ВКонтакте пользуется высочайшей популярностью среди сотен миллионов пользователей по всему миру. На vk.com каждому человеку предоставляются огромные возможности: виртуальное общение, знакомства, просмотр фотографий и видеозаписей других людей, выкладывание своего фото и видео контента.
многочисленные онлайн-игры и приложения на самую разнообразную тематику и многое другое.
Троян USB Thief использует USB-носители для кражи личных данных пользователей
Компания ESET сообщила об обнаружении новой троянской программы под названием USB Thief. Примечательна она тем, что использует для распространения съёмные USB-носители - внешние жёсткие диски или флешки.
Троянец запускается исключительно со съёмного USB-устройства и не оставляет никаких следов в системе, а пользователь не замечает, что данные перемещаются с компьютера на внешний накопитель.
7 признаков того, что вас хакнули
Когда-то вирусы писались для развлечения, для демонстрации знаний своего автора. Теперь же они всё чаще служат сугубо практическим зловредным целям: кража паролей, рассылка спама, создание ботнетов и так далее. Такая зараза может годами сидеть в вашей системе и почти ничем не выдавать своего присутствия.
Поэтому очень важно знать основные признаки заражения.
Если вы получаете письма с сообщением о том, что ваш пароль к какому-либо сервису был изменен, в то время как вы не делали ничего подобного, то это однозначный признак попытки или удачного взлома.
Почему хакеры так легко и просто взламывают наши пароли?
Взлом пользовательских паролей - одно из самых распространённых преступлений в Сети, оставляющее далеко позади DoS-атаки и создание бот-сетей. Почему же хакерам так легко удаётся вскрывать пароли?
А всё дело в пресловутом человеческом факторе. Самая главная причина - мы подсознательно выбираем такие пароли, которые очень сложно угадать и запомнить посторонним людям, но с которыми «на раз» справляется обычный персональный компьютер.
Эта музыка будет вечной
Около года назад мы писали про троянское приложение «Музыка ВКонтакте». На первый взгляд это музыкальный плеер для воспроизведения музыки из «ВКонтакте» на Android-устройствах, созданный сторонними разработчиками.
Однако у этого плеера обнаружилась дополнительная функциональность - оказалось, что приложение воровало пароли пользователей, установивших «Музыку» на свои смартфоны и планшеты.
ESET обнаружила троян, ворующий пароли от банковских приложений
Регистрация пользователя в сервисе РИА Клуб на сайте Ria.Ru и авторизация на других сайтах медиагруппы МИА «Россия сегодня» при помощи аккаунта или аккаунтов пользователя в социальных сетях обозначает согласие с данными правилами. На сайтах медиагруппы МИА «Россия сегодня» может осуществляться редактирование комментариев, в том числе и предварительное.
