Навигация

Популярные статьи

Авторские и переводные статьи

Пресс-релизы

Регистрация на сайте


Опрос
Какие телеканалы вы смотрите чаще?







"Лаборатория Касперского" обнаружила банковский руткит для 64-битных систем


29 мая 2011 | Интернет / На русском языке / Мир | Добавил: Ольга Кравцова
Лаборатория Касперского" обнаружила первый банковский руткит, предназначенный для 64-разрядных систем. Он распространялся в ходе drive-by атаки, организованной бразильскими киберпреступниками. х систем. Он распространялся в ходе drive-by атаки, организованной бразильскими киберпреступниками.

"Мы обнаружили вредоносный Java-апплет, внедренный в популярный бразильский веб-сайт. В ходе атаки вредоносный апплет обеспечивал заражение пользователей, использующих старые версии JRE (Java Runtime Environment), независимо от того, какая версия системы у них установлена — 32- или 64-разрядная", - говорят в антивирусной компании.

Апплет содержит несколько интересных файлов:

"Лаборатория Касперского" обнаружила банковский руткит для 64-битных систем


Схема вредоносной атаки простая, но интересная. Файл add.reg отключает контроль учетных записей пользователя (UAC) и изменяет реестр Windows, добавляя на зараженной машине фальшивые центры сертификации (CA — Certification Authorities). Эта схема регистрации вредоносных центров сертификации в зараженной системе применяется бразильскими киберпреступниками с прошлого года.

Файл cert_override.txt представляет собой поддельный цифровой сертификат, подписанный одним из таких несуществующих центров сертификации, зарегистрированных в системе вредоносным Java-апплетом. Основная цель атаки — перенаправить пользователя на домен, используемый для фишинговых атак. Поддельный сайт выдает страницу, которая выдается за реальную страницу банка и на которой присутствует пиктограмма https-соединения.

Файл aaa.bat выполняется и запускает на исполнение файл bcdedit.exe — легитимную утилиту, созданную компанией Microsoft для редактирования загрузочной конфигурации Windows Vista и более поздних версий Windows. Использование этой утилиты с соответствующими параметрами, такими как “DISABLE_INTEGRITY_CHECKS”, “TESTSIGNING ON” и “type= kernel start= boot error= normal” позволяет скопировать файлы plusdriver.sys и plusdriver64.sys в папку драйверов и зарегистрировать их в качестве активных драйверов при следующей перезагрузке. Данная схема дает возможность запустить вредоносный драйвер без легитимной цифровой подписи.

После регистрации в системе вредоносные драйверы выполняют несколько команд: изменяют файл hosts, добавляя переадресацию на фишинговый домен, а также удаляют несколько файлов, необходимых для работы плагина безопасности, используемого бразильскими банками.

Источник: CyberSecurity
Комментарии (0) | Распечатать | | Добавить в закладки:  

Другие новости по теме:


 



Телепрограммы для газет и сайтов.
25-ть лет стабильной работы: телепрограммы, анонсы, сканворды, кроссворды, головоломки, гороскопы, подборки новостей и другие дополнительные материалы. Качественная работа с 1997 года. Разумная цена.

Форум

Фоторепортажи

Авторская музыка

Погода

Афиша

Кастинги и контакты ТВ шоу

On-line TV

Партнеры

Друзья

Реклама

Статистика
Главная страница  |  Регистрация  |  Добавить новость Copyright © 2002-2012 Все о ТВ и телекоммуникациях. Все права защищены.