GIGPORT.RU ГЛОБАЛЬНЫЙ ИННОВАЦИОННЫЙ ГИПЕРПОРТАЛ
  ГЛАВНАЯ НОВОСТИ АФИША ПРОЕКТЫ ИННОВАЦИИ ТУРИЗМ РАЗВЛЕЧЕНИЯ  
       
 
       
Электроника   Бытовая техника   Спорт и отдых   Софт и игры   Видео и музыка на DVD и Blu-ray   Музыка   Антиквариат и винтаж  

2

vkontakte.ru mail.ru facebook.com twitter.com ok.ru plus.google.com  information rss
       
ОБЩЕСТВО ЭКОНОМИКА И БИЗНЕС ПРОИСШЕСТВИЯ НАУКА И HI-TECH КОМПЬЮТЕРЫ И СОФТ АВТО-МОТО КОСМОС НАНОТЕХНОЛОГИИ МЕДИЦИНА КУЛЬТУРА СПОРТ РАЗНОЕ
 
 
 
 
«ДОКТОР ЛЕКТЕР»  

«ДОКТОР ЛЕКТЕР»




28.06.2014 безопасность, вирус, троян, Trojan.Tofsee



Основное назначение троянца «Trojan.Tofsee» — рассылка спама, но среди заложенных в него ряда функций обнаружилась и весьма необычная: один из модулей «вредителя» предназначен для... удаления на инфицированном компьютере других троянцев и вредоносных программ.
   
  «Trojan.Tofsee» — сложный многокомпонентный троянец, основное назначение которого рассылка спама. Однако, как выясняется, его создатели очень расчётливо и довольно жёстко подошли к решению проблемы с конкурентами, установив на свой продукт модуль, который работает как антивирус, удаляя сторонние вредоносные программы с заражённого компьютера.

Специалисты компании «Доктор Веб» завершили исследование сложного многокомпонентного троянца Trojan.Tofsee, обладающего широким спектром возможностей. Основное назначение этого троянца — рассылка спама и реализация DDoS-атак, но среди заложенных в него 17 функций есть весьма необычная: один из модулей программы предназначен для удаления на инфицированном компьютере других троянцев и вредоносных программ.

Если говорить простым языком, то Trojan.Tofsee, кроме рассылки спама, способен ещё и лечить систему от других угроз, причём справляется с этой задачей на удивление успешно. Так что, даже если на заражённом компьютере не установлен антивирус, этот многокомпонентный вредитель подчистит его согласно своему списку. Компьютер все операции начнёт выполнять быстрее, вот только его владельцу от этого легче не станет, поскольку Trojan.Tofsee преследует исключительно свои интересы.

Распространяется Trojan.Tofsee либо через Skype, либо через социальные сети или съёмные накопители. Распространяя угрозу через Skype, злоумышленники прибегают к методам социальной инженерии, т. е., пытаются ввести в заблуждение потенциальную жертву. Для этого они сообщают последней, что в сети якобы опубликованы шокирующие фотографии или видеозаписи с её участием. Этот метод, своего рода, классика жанра, т. к. его используют распространители вирусов на протяжении уже многих лет. Однако, не смотря на это, доверчивые люди и дальше продолжают попадаться на эту наживку.

За распространение Trojan.Tofsee через социальные сети «Twitter», «Facebook» и «ВКонтакте», а также через программу Skype, отвечает специальный модуль, который троян скачивает с сервера злоумышленников. Отправляемые сообщения строятся по шаблону, который содержится в конфигурационном файле. При этом все сообщения пользователям социальных сетей отсылаются с учётом используемого ими национального языка. Например:
- Хай. Зацени свои интимные фотки :)
- Привет! Офигеть... Неуж-то это ты?!
- Привет друг) Попалился ты однако конкретно. Это ж ты?
- Офигеть! Это ты? Это конкретное палево ч?
- Ты идиот? Зачем таки? фотки выкладывать в сеть??
- Спецом выложили эту фотку, где ты выглядишь как шлюха?))
- Жесть!! Как можно было так спалиться?!
- Твои родители уже видели?
- 5ли эту твою фото с вечеринки? ггг)
- Вот это да! Ты прикалываешься? Такое фото выложить...)
   
 
«ДОКТОР ЛЕКТЕР»   В тексте сообщения указана ссылка на страницу, где потенциальная жертва якобы может ознакомиться с компрометирующими её видеозаписями или фотографиями. Однако для просмотра этого контента пользователь должен загрузить, а затем и установить плагин для браузера, под видом которого и распространяется Trojan.Tofsee. Для отправки сообщений на сайты «Twitter», «Facebook» и «ВКонтакте» вредоносный модуль использует данные сессии из файлов cookies браузеров:
- Microsoft Internet Explorer;
- Mozilla Firefox;
- Opera;
- Safari;
- Google Chrome.
   
  В программу Skype сообщения отсылаются с помощью нажатия кнопок в окне самого приложения. В возможностях модуля также ещё есть функция распознавания защиты captcha на сайте социальной сети «Facebook». Для этого она отправляется на сервер, где распознаётся, после чего троян получает текст для ввода в соответствующую экранную форму.

Следующий модуль позволяет трояну распространяться при помощи съёмных flash-накопителей. Он сохраняет исполняемый файл Trojan.Tofsee в Корзине, а в корневой папке съёмного накопителя создаёт файл автозапуска autorun.inf. Заражение выполняется по команде с управляющего сервера.

Третий модуль позволяет осуществлять обновление ядра Trojan.Tofsee с принадлежащего злоумышленникам сервера. Здесь опять же не обойтись без команд и параметров, указанных в конфигурационных файлах. И если хоть один из параметров не будет указан, то вместо обновления троян загрузит с командного сервера довольно любопытную картинку.

Но, самым интересным оказался модуль, предназначенный для поиска и удаления на инфицированном компьютере всех обнаруженных сторонних троянов и других вредоносных программ. Плагин осуществляет:
- поиск файлов на диске по заданному списку;
- выискивает записи в системном реестре Windows;
- перечисляет запущенные процессы и удалять обнаруженные опасные файлы.

Таким образом, даже если на компьютере жертвы не установлена антивирусная программа, Trojan.Tofsee позаботится о его безопасности, но лишь для того, чтобы заражённый компьютер работал шустрее, и только в её интересах.
   
 
«ДОКТОР ЛЕКТЕР»   Ещё раз напомним, что основным назначением Trojan.Tofsee — это рассылка спама, при этом тексты отправляемых писем формируются с помощью специальных шаблонов, которые троян скачивает с сервера злоумышленников.

Так функции для работы с сетью и протоколом SMTP реализованы в основном модуле Trojan.Tofsee. После успешного подключения к управляющему серверу тот отсылает трояну ключи для расшифровки данных.

Затем троян передает на командный сервер данные о себе и получает от него задание, содержащее команды для последующего выполнения.
   
  Для создания отправляемых писем использует собственный скриптовый язык, что является большой редкостью в мире вредоносного программного обеспечения.

Trojan.Tofsee может загружать с удалённых серверов 17 подключаемых модулей, реализованных в виде динамических библиотек. Помимо вышеуказанных модулей, другие использует в своей работе Trojan.Tofsee, имеют следующее функциональное назначение:

- модуль для проверки правильности адресов удалённых узлов, передаваемых ему в виде блока конфигурационных данных;
- плагин для реализации DDoS-атак. Способен реализовывать два вида атак: http flood и syn flood;
- модуль, представляющий собой зашифрованный Trojan.PWS.Pony.5;
- модуль для журналирования данных браузера Microsoft Internet Explorer. Извлекает из своего тела и встраивает в процесс браузера библиотеку IEStub.dll, управляется отдельным конфигурационным файлом;
- модуль для работы с графическими файлами, который загружает изображения в специальные структуры для дальнейшей работы других плагинов;
- модуль, который извлекает почтовые адреса из Internet Account Manager и PStoreCreateInstance, формирует адрес отправителя в виде %NAMEPC% @ mail.ru и пытается отправить сообщения по созданному списку;
- плагин, загружающий предназначенного для добычи криптовалюты Bitcoin трояна Trojan.BtcMine.148. Он устанавливает Trojan.BtcMine.148 в системе и передаёт ему необходимые параметры при запуске;
- модуль, который устанавливает в папку system32\drivers\ вредоносную программу Trojan.Siggen.18257 в виде файла со случайным именем и расширением .sys, после чего запускает его;
- модуль, реализующий функции http- и socks5-прокси;
- модуль, предназначенный для формирования и рассылки почтовых сообщений, использует встроенный скриптовый язык для формирования сообщений и рассылает их по протоколу HTTPS. SSL-шифрование реализовано посредством Microsoft Unified Security Protocol Provider;
   
 
«ДОКТОР ЛЕКТЕР»   - библиотека для перехвата и анализа трафика на низком уровне, использует для этого специальный драйвер. Ищет в потоке данных информацию, передаваемую по протоколам FTP и SMTP, может подменять адреса и тело сообщений;
- плагин, обрабатывающий конфигурационные шаблоны и соответствующим образом формирующий их в памяти;
- модуль, в котором реализован скриптовый язык для создания рассылаемых троянцем писем.


Источник: GIGPORT.RU
 
Нравится
 
 
 
 
 
 
Загрузка...
 
GIGPORT.RU ГЛОБАЛЬНЫЙ ИННОВАЦИОННЫЙ ГИПЕРПОРТАЛ
ГИПЕРПОРТАЛ
ИНТЕРНЕТ-ЖУРНАЛ
ИНТЕРЕСНОЕ В МИРЕ
ОНЛАЙН ГИПЕРМАРКЕТ
ДОСКА ОБЪЯВЛЕНИЙ
РАЗВЛЕЧЕНИЯ
СБОРКА МЕБЕЛИ
 
     
 
Книги   Детям и мамам
 
     
 
Одежда, обувь, аксессуары   Красота и здоровье
 
     
 
 
     
   
     
   
     
       
  COPYRIGHT
 
  Рейтинг@Mail.ru   Яндекс.Метрика   Проверка тиц pr