Из России с Тибетом: Backdoor.Trojan

02-09-2011
Корпорация Symantec сообщает об атаках на основе «тибетских писем» с использованием вирусов семействаBackdoor.Trojan. Рассылка писем от имени связанных с Тибетом организаций ведётся с серверов, расположенных на территории России. Заражение компьютера происходит при открытии инфицированного Word-документа, прикреплённого к письму. В ходе реализации атаки злоумышленники используют механизм, скрывающий от пользователей сам факт заражения компьютера. В результате злоумышленники смогут получать ценную информацию с заражённого компьютера и даже осуществлять удалённое управление им.

Используемые при атаке письма написаны по-английски и адресованы американской компании по производству одежды.

Несмотря на то, что письма, на первый взгляд, отправлены с адресов организаций, связанных с Тибетом, изучение технических заголовков писем показало, что письма отправлены с почтового сервера на территории Российской Федерации.

Недавно был обнаружен файл, отличающийся от других вирусных программ тем, что в качестве вектора проведения атаки используется программа известного производителя видеокарт,обладающая цифровой подписью.

Для заражения достаточно открыть вложенный в сообщение инфицированный файл, обеспечивающий эксплуатацию уязвимости CVE-2012-0158, и в случае успеха на компьютер попадают три файла:«NvSmart.exe», «NvSmartMax.dll» и «boot.ldr», первый из которых обладает цифровой подписью. Приступая к анализу, специалисты Symantec предположили, что этот файл представляет собой вирус, подписанный украденной цифровой подписью. Однако в ходе дальнейшего анализа выяснилось, что этот файл подлинный.

Обычно, при запуске «NvSmart.exe» происходит подгрузка в память «NvSmartMax.dll» из внешней библиотеки. Однако, в данном случае подгружается фальшивая «NvSmartMax.dll», которая, в свою очередь, запускает выполнение файла boot.ldr, содержащего вредоносный код.

В прошлом вредоносные программы обычно подменяли подлинный файл на фальшивый, который загружался при старте ОС. Но подмену файла достаточно легко обнаружить. А в данном случае появляется новый легитимный файл известного производителя, и при установке его в систему в реестре для него создаётся соответствующая запись. В результате при старте компьютера запускается корректно установленная программа, обладающая цифровой подписью. И уже она запускает на исполнение подменённый файл «NvSmartMax.dll», который в свою очередь запускает на исполнение файл boot.ldr, содержащий вредоносный код. При этом фальшивые файлыне регистрируются в качестве служб и не добавляются в реестр, поэтому большинство пользователей не замечают, что при запуске машины выполняется вредоносная программа. Создатели вирусов ищут все новые способы предотвратить обнаружение своих созданий.

Продукты Symantec определяют «NvSmartMax.dll»и «boot.ldr» в качестве вирусов семейства Backdoor.Trojan. Вредоносные программы такого рода обычно занимаются перехватом информации, отправкой её «хозяину» и даже предоставляют возможность удалённого управления компьютером.

Данный метод загрузки вредоносных программ не ограничивается одной лишь программой «NvSmart.exe», и ожидается применение этой тактики в будущих атаках с использованием и других легитимных файлов.

По материалам официального пресс-релиза.

Новости

все
25.07.2012
Главный инспектор аэрокосмического агентства США, НАСА, сообщил о расследовании скандального
24.07.2012
Анонсированы Leica M9 и X1: карманный FF и APS-C с фиксом Для тех, кто не желает таскать с
23.07.2012
Скоро беспроводная сеть позволит посмотреть сквозь стену? Видеть сквозь препятствия –

Реклама

Оставьте заявку на нашу быструю Компьютерную помощь по городам России
Какой же посетить салон красоты из новокуркино только!

Дизайны

Разработали структуру сайта, создали сайт, соответствующий всем требованиям заказчика. Создали
Разработали структуру сайта, создали сайт по новым технологиям. Создали индивидуальный и
ООО Транспортная Компания «ТрансРусь» предлагает Вам свои услуги по приемке и