Показано с 1 по 1 из 1.

Обнаружены атаки на основе «тибетских писем» при помощи Backdoor.Trojan

  1. #1
    NewsMaker Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    22.03.2011
    Сообщений
    7,812
    Вес репутации
    141

    Обнаружены атаки на основе «тибетских писем» при помощи Backdoor.Trojan

    Рассылка писем от именисвязанных с Тибетом организаций ведётся с серверов, расположенных на территории России. Заражение компьютера происходит при открытии инфицированного Word-документа, прикреплённого к письму. В ходе реализации атаки злоумышленники используют механизм, скрывающий от пользователей сам факт заражения компьютера. В результате злоумышленники смогут получать ценную информацию с заражённого компьютера и даже осуществлять удалённое управление им.
    Используемые при атаке письма написаны по-английски и адресованы американской компании по производству одежды. Несмотря на то, что письма, на первый взгляд, отправлены с адресов организаций, связанных с Тибетом, изучение технических заголовков писем показало, что письма отправлены с почтового сервера на территории Российской Федерации.
    Недавно мы обнаружили файл, отличающийся от других вирусных программ тем, что в качестве вектора проведения атаки используется программа известного производителя видеокарт,обладающая цифровой подписью.
    Для заражения достаточно открыть вложенный в сообщение инфицированный файл, обеспечивающий эксплуатацию уязвимости CVE-2012-0158, и в случае успеха на компьютер попадают три файла:“NvSmart.exe”, “NvSmartMax.dll” и “boot.ldr”, первый из которых обладает цифровой подписью. Приступая к анализу, специалисты Symantec предположили, что этот файл представляет собой вирус, подписанный украденной цифровой подписью. Однако в ходе дальнейшего анализа выяснилось, что этот файлподлинный.
    Обычно, при запуске “NvSmart.exe” происходит подгрузка в память “NvSmartMax.dll” из внешней библиотеки. Однако в данном случае подгружается фальшивая “NvSmartMax.dll”, которая в свою очередь запускает выполнение файла boot.ldr, содержащего вредоносный код.
    В прошлом вредоносные программы обычно подменяли подлинный файл на фальшивый, который загружался при старте ОС. Но подмену файла достаточно легко обнаружить. А в данном случае появляется новый легитимный файл известного производителя, и при установке его в систему в реестре для него создаётся соответствующая запись. В результате при старте компьютера запускается корректно установленная программа, обладающая цифровой подписью. И уже она запускает на исполнение подменённый файл “NvSmartMax.dll”, который в свою очередь запускает на исполнение файл boot.ldr, содержащий вредоносный код. При этом фальшивые файлыне регистрируются в качестве служб и не добавляются в реестр, поэтому большинство пользователей не замечают, что при запуске машины выполняется вредоносная программа. Создатели вирусов ищут все новые способы предотвратить обнаружение своих созданий.
    Продукты Symantec определяют “NvSmartMax.dll”и “boot.ldr” в качестве вирусов семейства Backdoor.Trojan. Вредоносные программы такого рода обычно занимаются перехватом информации, отправкой её «хозяину» и даже предоставляют возможность удалённого управления компьютером.
    Данный метод загрузки вредоносных программ не ограничивается одной лишь программой “NvSmart.exe”, и мы ожидаем применение этой тактики в будущих атаках с использованием и других легитимных файлов.
    Компания Symantec продолжает отслеживать появление новых угроз и методов, разрабатываемых злоумышленниками. Специалисты рекомендуют пользователям воздержаться от запуска подозрительных программ, а также не забывать своевременноустанавливать все обновления безопасности для операционных систем и антивирусного программного обеспечения.

    anti-malware.ru

  2. Реклама
     

Похожие темы

  1. Ответов: 5
    Последнее сообщение: 03.09.2010, 18:25
  2. Ответов: 3
    Последнее сообщение: 05.04.2010, 23:23
  3. Обнаружены Trojan.PWS.IBank.25 и Trojan.Packed.19740
    От vic2302 в разделе Помогите!
    Ответов: 9
    Последнее сообщение: 22.03.2010, 21:53
  4. Обнаружены активные атаки на Linux системы
    От ALEX(XX) в разделе Новости компьютерной безопасности
    Ответов: 6
    Последнее сообщение: 19.09.2008, 19:56
  5. Ответов: 0
    Последнее сообщение: 27.01.2006, 09:09

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01279 seconds with 18 queries