| RQ |
Дата: Вторник, 18.02.2014, 22:48 | Сообщение # 1 |
|
Уважаемый
Сообщений: 5542
| Компания «Доктор Веб» сообщает об обнаружении троянца Trojan.PWS.Papras.4, обладающего чрезвычайно обширным вредоносным функционалом. Например, он способен красть пароли от множества популярных прикладных программ, передавать злоумышленникам содержимое заполняемых жертвой форм и открывать им возможность удаленного управления инфицированным компьютером.
Trojan.PWS.Papras.4 представляет собой приложение, которое можно отнести к категории RAT (Remote Administration Tool, т. е. средство удаленного администрирования). Оно позволяет злоумышленникам получить доступ к инфицированному компьютеру без ведома пользователя. Троянец состоит из нескольких компонентов, одним из которых является дроппер, после своего запуска распаковывающий в одну из системных папок другой модуль — инжектор, и в зависимости от привилегий текущей учетной записи пользователя Windows модифицирующий соответствующую ветвь системного реестра для добавления его в автозагрузку.
После успешного запуска инжектор извлекает и распаковывает основные модули троянской программы, а затем встраивает их во все запущенные процессы за исключением нескольких системных. При этом Trojan.PWS.Papras.4 имеет возможность инфицировать как 32–, так и 64-разрядные процессы.
Троянец обеспечивает работу на инфицированном компьютере нескольких функциональных модулей: один из них реализует функции VNC-севера, другой — сервера Socks Proxy. Еще один модуль позволяет встраивать в просматриваемые пользователем веб-страницы постороннее содержимое (веб-инжекты). Дополнительный модуль (Grabber) предназначен для передачи злоумышленникам содержимого заполняемых пользователем форм в браузерах Microsoft Internet Explorer, Mozilla Firefox и Google Chrome, а модуль Stealer — похищать пароли от нескольких десятков популярных приложений, среди которых — почтовые клиенты, FTP-клиенты и ряд других программ. Наконец, модуль backconnect позволяет управлять инфицированной машиной, даже если она скрыта за шлюзом или брандмауэром. Trojan.PWS.Papras.4 «умеет» выполнять следующие команды, получаемые с удаленного сервера:
- загрузить, сохранить, запустить указанное приложение;
- установить обновление вредоносной программы;
- передать на удаленный сервер файлы cookies браузеров Microsoft Internet Explorer, Mozilla Firefox и Google Chrome;
- экспортировать установленные на инфицированном ПК цифровые сертификаты и отправить их на удаленный сервер;
- передать на удаленный сервер список запущенных процессов;
- удалить на инфицированном ПК файлы cookies;
- включить запись в файл журнала;
- включить прокси-сервер;
- включить VNC-сервер;
- установить обновление вредоносной программы с цифровой подписью;
- запускать программы;
- записать значение в реестр или получить значение из реестра;
- выполнить поиск файлов на инфицированном компьютере.
Как отмечают эксперты компании «Доктор Веб», данная вредоносная программа представляет серьезную опасность в силу наличия обширного функционала для хищения конфиденциальной информации, которая может быть использована злоумышленниками, в частности, для несанкционированного доступа на зараженный компьютер, взлома интернет-ресурсов и учетных записей жертвы на различных сайтах.
http://news.softodrom.ru/ap/b19204.shtml
Так называемые парадоксы автора, шокирующие читателя,
находятся часто не в книге автора, а в голове читателя.
|
| |
| |
| RQ |
Дата: Вторник, 18.02.2014, 22:48 | Сообщение # 2 |
|
Уважаемый
Сообщений: 5542
| Trojan.PWS.Papras.4
Добавлен в вирусную базу Dr.Web: 2014-01-22
Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
[\SYSTEM\ControlSet001\Control\Session Manager\AppCertDlls] 'lpegsv' = '%ALLUSERSPROFILE%\Application Data\lpegsv.dat'
Изменения в файловой системе:
Создает следующие файлы:
%ALLUSERSPROFILE%\Application Data\lpegsv.dat
Рекомендации по лечению
Если вы используете операционную систему семейства Microsoft Windows:
1.В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIT! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
2.Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveCD или утилиту аварийного восстановления системы с помощью USB-накопителя Dr.Web® LiveUSB, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
3.Если работа операционной системы заблокирована вредоносной программой семейства Trojan.Winlock, воспользуйтесь сервисом разблокировки компьютера. Если подобрать код разблокировки не удалось, действуйте согласно инструкции, представленной в п.2.
Если вы используете Linux:
1.На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.
2.Если система выгружена, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveCD или утилиту аварийного восстановления системы с помощью USB-накопителя Dr.Web® LiveUSB, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Если вы используете Mac OS X:
Выполните полную проверку системы с использованием бесплатного продукта Сканер Dr.Web Light для Mac OS X. Данный продукт можно загрузить с официального сайта Apple AppStore или сайта компании «Доктор Веб».
Если вы используете Android:
Загрузите и установите на ваше устройство бесплатный продукт Dr.Web для Android Light. Выполните полную проверку системы и рекомендации по удалению обнаруженных угроз.
http://vms.drweb.com/virus/?i=3608916
Так называемые парадоксы автора, шокирующие читателя,
находятся часто не в книге автора, а в голове читателя.
|
| |
| |
| Fantomas |
Дата: Среда, 19.02.2014, 09:56 | Сообщение # 3 |
Постоялец
Сообщений: 157
| Что уже и Linux подвержен заражению вирусами?
|
| |
| |
[
Новые сообщения ·
Поиск ·
Правила форума ·
Участники ·
RSS ·
Новое на форуме ]
