Перейти к содержанию
AM_Bot

Новый Trojan.Winlock собирает данные банковских карт у зарубежных пользователей

Автор AM_Bot, в Современные угрозы и защита от них

Recommended Posts

AM_Bot    48

AM_Bot
Опубликовано

12 июля 2011 года

Различные модификации троянцев-блокировщиков, нарушающих нормальную работу Windows, появляются с завидной регулярностью. Компания «Доктор Веб» — ведущий российский разработчик систем информационной безопасности — сообщает о появлении новой троянской программы данного типа, ориентированной, в отличие от своих предшественниц, на зарубежных пользователей Windows и требующей у них передать злоумышленникам данные банковских карт.

Первые случаи заражения вредоносными программами семейства Trojan.Winlock были зафиксированы еще в конце 2007 года, а в период с ноября 2009 по февраль 2010 года их распространение приняло буквально эпидемический характер. По интерфейсу и принципу действия новая модификация троянца — Trojan.Winlock.3794 — напоминает те самые, ранние модификации «винлоков», хорошо известные в России, разве что рассчитана она на зарубежных пользователей.

Данная версия троянца-блокировщика, как и многие ее предшественницы, маскируется под встроенный механизм активации операционной системы Windows XP (Microsoft Product Activation, MPA). Окно программы, блокирующее Рабочий стол Windows, сообщает о том, что данная копия Microsoft Windows ранее уже была активирована другим пользователем, и предлагает повторить процедуру активации. В случае выбора варианта No, I will do it later («Нет, я сделаю это позже») операционная система демонстрирует «синий экран смерти». Если же пользователь согласится выполнить повторную активацию, ему будет предложено ввести в соответствующие поля формы реквизиты банковской карты, включая полные данные владельца, номер карты, CVV2 и даже пин-код. Излишне говорить о том, чем именно чревата передача указанных сведений в руки злоумышленников.

T_W_3794_screen_1_250.gif

T_W_3794_screen_2_250.gif

С архитектурной точки зрения троянец Trojan.Winlock.3794 реализован достаточно примитивно, что характерно для всех вредоносных программ этого семейства. Попадая в систему, он записывает ссылку на самого себя в отвечающей за автозагрузку приложений ветке системного реестра. В результате блокируется нормальная работа Windows как в обычном, так и в защищенном режиме. Помимо этого троянец блокирует запуск любых приложений операционной системы, включая Диспетчер задач, Восстановление системы и т. д., что несколько затрудняет борьбу с ним подручными средствами.

Следует отметить, что это — первый случай появления троянца-блокировщика, собирающего данные о банковских картах. Напомним, что ранее подобные программы-вымогатели обычно требовали от пользователя отправить платное SMS-сообщение на указанный сервисный номер или пополнить счет одного из российских сотовых операторов. Очевидно, что с появлением Trojan.Winlock.3794 создатели «винлоков» вышли уже на международный уровень и в ближайшем будущем можно прогнозировать появление более изощренных угроз подобного типа, включая троянские программы, модифицирующие MBR.

Антивирусы Dr.Web успешно справляются с любыми модификациями семейства Trojan.Winlock, включая и эту. В любом случае, соблюдение всего лишь нескольких несложных правил позволит вам надежно обезопасить себя от возникновения подобных неприятностей:

  • Используйте обновленное антивирусное программное обеспечение. Периодически производите проверки компьютера на наличие вирусов и других вредоносных программ.
  • Вовремя обновляйте вирусные базы, поддерживая их в актуальном состоянии.
  • Регулярно устанавливайте обновления безопасности, рекомендованные производителем вашей операционной системы.
  • Не запускайте подозрительные приложения или самораспаковывающиеся архивы, загруженные из Интернета или полученные из неблагонадежных источников.
  • Если вы все-таки стали жертвой данного троянца, воспользуйтесь средством аварийного восстановления системы Dr.Web LiveCD и лечащей утилитой Dr.Web CureIt!

Источник

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

A.    875

A.
Опубликовано

Не понял, а в чем тут новость ??

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

goover    37

goover
Опубликовано

Наверное в этом:

Следует отметить, что это — первый случай появления троянца-блокировщика, собирающего данные о банковских картах.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

A.    875

A.
Опубликовано
Наверное в этом:

Но это же не правда.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

goover    37

goover
Опубликовано

В чём не правда ? Рассказывайте уж ...

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Современные угрозы и защита от них

  • Сообщения

    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      Похоже эти версии https://vms.drweb.ru/virus/?i=21513908 https://vms.drweb-av.es/virus/?i=22278785    
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      майнер то старый, но как запускается хз, до создания образа uVS уже прибиты задачи, через которые он почти наверное и запускался, да и uVS запущен без флага HKCR и без флага выгрузки левых потоков, а они были и их там быть не должно.
      Однако самое неприятное то что нет командных строк в истории процессов, потому найти концы уже не получится.. возможно есть баг при включении отслеживания командных строк и это надо будет проверить.
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      Ту что-то, эдакое.... https://www.safezone.cc/threads/mainer-ili-net-nt-kernel-system.46113/
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Полное имя                  E:\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\SCREENSHOTS@MOZILLA.ORG.XPI
      Имя файла                   SCREENSHOTS@MOZILLA.ORG.XPI
      Статус                      FireFox
      Инф. о файле                Системе не удается найти указанный путь.
      Цифр. подпись               проверка не производилась
                                  
                                  
      Extension_ID                screenshots@mozilla.org
      Extension_name              Firefox Screenshots
      Extension_type              extension
      Extension_active            true
      Extension_visible           true
      Extension_version           39.0.1
      Extension_installDate       2023-08-30 17:02
      Extension_description       Take clips and screenshots from the Web and save them temporarily or permanently.
      Extension_userDisabled      false
      Extension_sourceURI         null
      --------------------------------------------------------- Предлагаю (Нужно) искать  "не найденные"объекты на других дисках. Ведь они эти объекты есть... D:\Program Files\Mozilla Firefox\browser\features  
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      Правильно будет вот так: cexec "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" Remove-MpPreference -ExclusionPath "путь" и оно работает, если powerShell на месте и это действительно powershell.
×