Содержание

Zillya! — Trojan.Crypt.Win32, Trojan.Krypt.Win32, Trojan.Kryptik.Win32

Виды вредоносных программ:

Trojan.Crypt.Win32, Trojan.Krypt.Win32, Trojan.Kryptik.Win32

Trojan.Crypt.Win32  –большое семейство  вредоносного ПО, содержащее зашифрованный код внутри своего тела.

Описание

Семейство троянских программ Trojan.Crypt.Win32 – собирательное название троянских программ,  написанных различными авторами на различных языках программирования, имеющих различную структуру и принцип работы. Но общей чертой  в них является зашифрованный (закриптованный) код программы.
Криптование кода применяется для усложнения анализа вредоноса, а также для автоматизированного создания новых модификаций троянской программы.
К примеру:
Троянская программа имеет один и тот же исходный код,  но шифрование его различными алгоритмами или различными ключами криптования, позволяет создать тысячи новых модификаций троянской программы.
Для автоматического создания троянских программ,  авторы используют генераторы модификаций, которые могут автоматически генерировать новую версию троянской программы.
Такая методика позволяет обходить сигнатурную защиту антивирусов,  ведь каждую минуту генерируется троян с совсем другим кодом, непохожий на пред идущие версии вредоноса.

Семейство Trojan.Crypt.Win32  насчитывает более 600 000 модификаций.

Вредоносные действия

Основные действия, которые могут выполнять троянские программы этого семейства:

  • Кража информации относящейся к финансовой деятельности — информация для доступа к платёжным системам Internet банкинга, системам клиент-банк и электронных денег, номеров пластиковых карт и имен владельцев. 
  • Кража пользовательских аккаунтов (логина и пароля) для доступа к популярным ресурсам и программам. Например, таких как социальные сети  — Facebook, Twitter, Одноклассники, программ для общения — Icq, Skype и т. п. Собранная троянской программой информация может использоваться  для дальнейшего распространения вредоносного ПО, рассылки ложной и порочащей информации о владельце, или же для вымогательства денег в обмен на возвращение доступа к украденным аккаунтам. Кража такой информации негативно отражается на её владельце и зачастую приводит к потере финансовых и личных контактов, а так же может спровоцировать резонансный скандал в случае публикации неправдивой информации от имени владельца.
  • Кража адресов электронной почты сохранённых на компьютере. Собранные таким образом адреса в дальнейшем используются для рассылки спама или же для распространения вредоносного ПО.
  • Превращение компьютера в прокси-сервер. В этом случае пораженный компьютер используется автором троянской программы для анонимного доступа к ресурсам Интернета с целью совершения преступных действий, например — DoS атаки на другие компьютеры и ресурсы,  удалённого взлома систем и т.п. В случае расследования инцидента, подозрение может пасть на владельца компьютера зараженного троянской программой, а не на человека, непосредственно осуществившего противоправное действие.
  • Скрытая  от пользователя загрузка и установка на компьютер нежелательных программ, таких как — рекламные системы, вредоносные программы и вирусы.
  • Несанкционированное пользователем обращение к веб-страницам. Данный вид троянской программы служит для увеличения посещаемости указанного в троянце сайта, с целью повышения его популярности и соответственно увеличения заработка его владельца. Владелец сайта размещает у себя рекламу различных товаров и услуг, таким образом, чем большему количеству пользователей будет показана реклама, тем больше денег получит владелец сайта от рекламодателя.

Знаете ли вы, чем трояны отличаются от компьютерных червей? Вредоносные программы и вирусы: в чём отличие? — Emsisoft

На различных форумах часто задают вопрос: может ли антивредоносное программное обеспечение, такое как Emsisoft Anti-Malware, защитить также и от вирусов. Короткий ответ: да. В английском языке термин «malware» («вредоносные программы») возник в результате сокращения от «malicious software» («вредоносное программное обеспечение»). Поскольку компьютерные вирусы, без сомнения, являются вредоносными, то они относятся к категории «malware», то есть вредоносных программ, куда входят также трояны, руткиты и программы-шпионы.

Это как если сравнивать, например, такс и собак: каждый вирус является вредоносной программой в той же степени, как каждая такса является собакой. При этом, не каждая собака является таксой. Точно так же не каждая вредоносная программа является именно вирусом, а относится к какой-то из подкатегорий. На самом деле, в наши дни появляется довольно мало новых вирусов, а большинство современных вредоносных программ состоит из других виртуальных паразитов.

Антивирус: запутанное понятие в современном мире

К сожалению, многие поставщики программного обеспечения используют термины «вирус» и «антивредоносный» неоднозначно. В результате некоторые пользователи склонны полагать, что антивирусные решения являются более эффективными, чем те решения, которые защищают от вредоносных программ, в то время как, на самом деле, это обобщённый термин. Ситуация осложняется ещё и тем, что сегодня все распространённые антивирусные программы защищают также и от других типов вредоносного ПО. Более того, термин «anti-malware» (антивредоносный) используется иногда разработчиками и для того программное обеспечение, которое, в принципе, не предлагает комплексную защиту от всех угроз, а специализируется лишь на какой-то определённой категории или даже на особо сложной вредоносной программе.

Для решения этой проблемы потребовалось бы переименование этих антивирусных программ. Термин восходит к истокам компьютерной безопасности в конце 1980-х годов. Именно тогда появились первые компьютерные вирусы, а первым вирусом, получившим широкое освещение в СМИ, стал в 1992 году «Микеланджело». Эти «ранние экземпляры вредоносных программ» были не самостоятельными программами, а, скорее, вредоносным кодом, который сначала был встроен в обычные приложения, однако потом уже вёл себя как хозяин, распространяя вирус.

Отсюда и возник термин «компьютерный вирус». Как и биологический вирус, который нуждается в определённой клетке-хозяине, в которую он может встроить свою ДНК с целью своего дальнейшего размножения, так и компьютерный вирус нуждается в определённой программе для того, чтобы размножаться. Это объясняет также и то, почему первая защита была названа «антивирус». Многие производители ПО даже не меняли названия своих антивредоносных продуктов, поскольку те уже стали хорошо известны пользователям. Они не хотят рисковать устоявшимся образом бренда, несмотря даже на то, что многие современные антивирусные продукты, как уже упоминалось ранее, включают в себя и антивредоносные решения. Достаточно одного взгляда на описание продукта, чтобы понять, от какого вида виртуальных паразитов он вас защищает, независимо от того, что обозначено в его названии: антивирусный или антивредоносный. Главное — это содержание, а не название или упаковка.

Какие виды вредоносных программ существуют?

Все знают о вирусах, практически все в курсе о том, что такое трояны, программы-шпионы и адвары (рекламное ПО). А как насчёт руткитов, программ-вымогателей и псевдоантивирусов? Вот краткое представление различных видов вредоносного ПО.

  • Вирусы: Компьютерный вирус распространяется путём незаконного встраивания своего кода в другую программу. А такое название возникло по аналогии с его биологическим собратом. Компьютерный вирус не только многократно распространяется и делает недоступной программу, в которой он разместился, но также и проявляет вредоносное поведение.
  • Троянский конь, троянцы, трояны: Троян — это вредоносная программа, которая маскируется под полезную программу. Цель трояна — заставить пользователя запустить эту программу, после чего троян получит полный контроль над вашим компьютером и будет использовать его для решения собственных задач. Обычно это приводит к установке в вашей системе дополнительных вредоносных программ (таких как бэкдоры и кейлоггеры).
  • Черви: Компьютерный червь — это вредоносная программа, которая нацелена на максимально быстрое распространение сразу после заражение вашего компьютера. В отличие от вирусов, компьютерным червям не нужны программы-хозяева. Вместо этого, они распространяют себя через устройства хранения данных (например, через USB-накопители), через средства коммуникации (например, через электронную почту), а также через уязвимости вашей ОС. Их размножение приводит к снижению производительности компьютеров и сетей. Также они могут осуществлять вредоносное действие напрямую.
  • Кейлоггеры: Клавиатурные шпионы тайно записывают всё, что вы печатаете на клавиатуре. Это позволяет злоумышленникам заполучить ваши пароли или другую важную информацию, например, данные от вашего онлайн-банка.
  • Дозвонщики, диалеры, звонилки: Программы дозвона остались с тех времён, когда стандартным способом подключения к Интернету были модемы или ISDN. Они звонили на платные номера, в результате чего абоненту выставлялись астрономические телефонные счета, нанося огромный финансовый ущерб. Дозвонщики неэффективны с ADSL или кабельным соединением. Именно поэтому в наши дни они считаются, в основном, вымершими.
  • Бэкдоры, боты: Бэкдор — это часть кода, встроенная в программу, как правило, самим автором ПО, чтобы получить доступ к вашему ПК или к защищённым функциям программного обеспечения. Бэкдоры часто устанавливаются троянскими программами, после чего злоумышленник может получить прямой доступ к вашему ПК. Заражённый компьютер, также известный как «бот», становится частью сети ботнет.
  • Эксплойты: Эксплойт систематически использует уязвимости в компьютерной программе. В результате хакер может получить частичный или полный контроль над вашим ПК.
  • Программы-шпионы, шпионское ПО: Программа-шпион — это программное обеспечение, которое шпионит за вами, то есть, собирает на вашем компьютере различные данные без вашего ведома.
  • Адвары, рекламное ПО: В английском языке термин «adware» («рекламное ПО») является производным от слова «advertisement» («реклама»). К фактический функции программы добавляется регулярный показ рекламы. Само по себе рекламное ПО не является опасным. Однако частое появление различных рекламных объявлений, как правило, считается нежелательным, а потому всегда выявляется хорошей антивредоносной программой.
  • Руткиты: Руткит обычно состоит из нескольких компонентов, которые предоставляют автору несанкционированный доступ к выбранной системе. Кроме того, эти программы скрывают следы своей деятельности, используя другое программное обеспечение. Они могут быть установлены, например, через эксплойты или трояны.
  • Псевдоантивирусы, лжеантивирусы, псевдоантишпионы: Лжеантивирус выдаёт себя за подлинное ПО для защиты вашего компьютера. Зачастую он использует поддельные предупреждения о, якобы, найденных вредоносных объектах, чтобы обмануть пользователя и заставить его купить программу, на чём злоумышленники незаконно наживаются.
  • Программы-вымогатели, криптовымогатели, шифровальщики: Программа-вымогатель является именно тем, что указано в её названии. Вымогатель шифрует личные данные пользователя и может даже заблокировать целиком весь компьютер. Для того чтобы разблокировать ваш компьютер, вам предложат заплатить «выкуп» через анонимный сервис.
Прошлое и будущее вредоносных программ

Если вы используете одну из наших программ (Emsisoft Anti-Malware или Emsisoft Emergency Kit), включающую в себя сканер вредоносных программ, то каждый день вы получаете 20-30 тысяч новых сигнатур. Процентное соотношение между видами вредоносных программ постоянно изменяется. Свой расцвет был у каждого из видов с момента изобретения компьютеров.

Например, в 90-е годы на пике своей популярности были вирусы, прежде чем новое тысячелетие возвестило о появление троянов (таких как Sub7 и Netbus) и компьютерных червей (таких как SQL Slammer, Blaster и Sasser). Сегодня дозвонщики практически вымерли, но ещё 10-15 лет назад они были неприятностью повседневной жизни пользователей компьютеров. На протяжении последнего года были распространены программы-вымогатели. Вы можете вспомнить самые известные примеры: BKA и GEMA трояны. Указание на трояны в их именах относится лишь к способам инфекции, фактически же вредоносная программа вела себя как обычная программа-вымогатель.

В последние годы наблюдается развитие характерного тренда, когда в атаках всё реже и реже используются лишь отдельные виды вредоносных программ. Вместо этого используются в комбинации из несколько видов вредоносных программ, что затрудняет классификацию вредоносных программ (например, таких как GEMA Троян, упоминавшийся выше). Для атаки на ваш ПК используется троян, эксплойт или компьютерный червь. Это устанавливает бэкдор, позволяющий злоумышленнику получить доступ к вашему ПК и поместить на нём кейлоггер, руткит или шпионскую программу. Когда злоумышленник получает полный контроль над вашим ПК, он может получать ваши пароли и важные конфиденциальные данные, а также использовать вашим компьютер для выполнения DoS-атак в обмен на оплату или шантажировать компании. Таким образом, хакер может контролировать сотни или даже десятки тысяч компьютеров («ботов»), которые образуют сеть «ботнет». По оценкам экспертов, в одной только Германии частью подобных ботнетов являются около 500 тысяч компьютеров, чьи владельцы даже не догадываются об этом.

За последние 10 лет война с вредоносными программами не стала легче для разработчиков антивредоносного ПО. Авторы вредоносного ПО постоянно улучшают свой код и сами становятся профессиональнее. В результате вредоносные программы усложняются, а их присутствие становится для пользователей или невидимым, или видимым лишь на том этапе, когда предпринимать что-то уже слишком поздно. Поэтому стандартные советы по поводу обеспечения безопасности, которые часто можно встретить на различных веб-сайтах и форумах, угрожающе устарели. Например, для обеспечения безопасности вашего компьютера недостаточно просто избегать подозрительных веб-сайтов или не использовать учётную запись администратора, ведь вредоносная программа также может проникнуть в ваш компьютер и через уязвимости в системе. Даже еженедельное сканирование ПК с помощью бесплатной антивирусной программы малополезно, если установленный руткит уже закрепился в ядре системы и скрыл свои следы.

Независимо от того, насколько хорошо пользователь разбирается в компьютерных вопросах, неотъемлемой частью любого ПК должна быть программа для обеспечения безопасности компьютера — регулярно обновляемая и с защитой в режиме реальном времени. Emsisoft Anti-Malware защищает Ваш компьютер тремя способами. Веб-защита предотвратит посещение Вами опасных веб-сайтов. Мощный двухъядерный сканер обнаружит любые вредоносные программы в том случае, если им удалось проникнуть на Ваш ПК. И даже неизвестные в настоящее время паразиты будут обнаружены благодаря анализу поведения. Таким образом, вы также уже защищены и от потенциальных вредоносных программ завтрашнего дня.

 

Желаем Вам хорошего (безвирусного) дня!

Ваша команда Emsisoft

www.emsisoft.ru

Эксперты назвали приложения, которые следует удалить из телефона

Эксперты по кибербезопасности выявили опасный троян Rogue, который обладает способностью заражать сторонние приложения и с их помощью получать контроль над устройством жертвы. Как работает этот вирус и какие сервисы он уже атаковал — в материале «Газеты.Ru».

В сети был выявлен опасный троян удаленного доступа, за созданием которого стоит разработчик вредоносного ПО для Android Triangulum и киберзлоумышленник HeXaGoN Dev. Вирус получил название Rogue — об этом говорится в пресс-релизе компании Check Point, которая первой обнаружила зловред.

Сообщается, что Rogue, относящийся к семейству мобильных троянов удаленного доступа, позволяет получать доступ к устройствам жертв, скачивать любые данные, в том числе фотографии, геолокацию, контакты и сообщения, изменять файлы на устройстве и загружать дополнительные вредоносные программы.

«Получив все необходимые разрешения на смартфоне жертвы, Rogue скрывает свою иконку, чтобы пользователю было сложнее его удалить. Если разрешения не были получены, Rogue неоднократно требует их предоставить.
Затем программа регистрируется в качестве администратора устройства. Если пользователь попытается отозвать права администратора, на экране тут же появится пугающее сообщение: «Вы уверены, что хотите стереть все данные?» — сообщили эксперты Check Point.

Вирус Rogue — такой зловред, который «вы точно не захотите иметь на своем смартфоне», рассказал специалист компании Янив Балмас.

По его словам, этот троян не только может украсть персональные данные, но и запрограммирован таким образом, чтобы получить доступ к микрофону и камере устройства жертвы. Как удалось выяснить Check Point, Rogue также способен проникнуть в базу данных WhatsApp, если он установлен на гаджете, и удалить все сообщения пользователя.

Кроме того, троян фиксирует все уведомления, которые приходят в мессенджеры и социальные сети жертвы, в том числе в Facebook, Instagram, Skype и Telegram. В таких сообщениях часто содержится личная и потенциально ценная информация, которая может стать добычей злоумышленников, распространяющих Rogue. Также вирус отслеживает звонки пользователя и имеет возможность их записывать.

Check Point также предупредил, что Rogue может заражать другие приложения. Компания выявила некоторые из них  — это AppleProtect, Axgle, Buzz, Google Play Service, Idea Security, SecurIt, Service, Settings, wallpaper girls, Wifi Pasword Cracker. Эксперты рекомендуют немедленно удалить эти сервисы, если они присутствуют на вашем смартфоне.

По словам Янива Балмаса, на сегодняшний момент вирусом Rogue во всем мире могут быть заражены сотни тысяч электронных устройств. 

Векторы атак на мобильные устройства имеют свою специфику, поэтому для их эффективной защиты требуется соблюдать особенные правила, уточнили ИБ-специалисты. Так, рекомендуется регулярно обновлять операционную систему. Чтобы противостоять уязвимостям повышения привилегий, на мобильных устройствах всегда должна быть установлена последняя версия операционной системы.

Кроме того, необходимо скачивать приложения только из официальных магазинов приложений — это снизит вероятность установки вредоносного мобильного ПО. Также будет не лишним подключить возможность удаленной очистки на всех мобильных устройствах, чтобы минимизировать потери личных данных.

Троян Snake стоимостью $25 обходит антивирусы и атакует Windows

Киберпреступники используют троян Snake для кражи паролей, что делает его одним из самых популярных семейств вредоносных программ, используемых в атаках на компьютеры под управлением Windows.

Snake активный как минимум с ноября 2020 года и не имеет отношения к вымогательскому ПО с таким же названием, использовавшемуся в прошлом.

Как сообщают специалисты ИБ-компании Cybereason, троян написан на языке программирования .NET и использует тот же механизм переноса данных, что и вымогательское ПО FormBook и Agent Tesla.

В настоящее время Snake можно купить на киберпреступных форумах в даркнете всего за $25, чем и объясняется резкое увеличение числа атак с его применением.

Основной способ распространения трояна — фишинг. Как правило, он устанавливается на систему жертвы через вредоносный документ, вложенный в электронное письмо, или фишинговые сайты, ссылки на которых представлены в электронных письмах.

После заражения компьютера Snake способен похищать учетные данные для 50 приложений, в том числе почтовых клиентов, web-браузеров и мессенджеров (Discord, Pidgin, FileZilla, Thunderbird, Outlook, Brave, Chrome, Edge, Firefox, Opera, Vivaldi, «Яндекс» и пр. ).

Помимо прочего, Snake способен записывать нажатия клавиш на клавиатуре, похищать данные из буфера обмена и даже делать скриншоты всего экрана целиком.

Для обхода обнаружения троян отключает антивирусные решения путем завершения связанных процессов и даже отключает анализаторы сетевого трафика наподобие Wireshark. Затем Snake добавляет себя в список исключений Защитника Windows, что позволяет ему выполнять вредоносные команды PowerShell в обход обнаружения.

Вредонос добавляет запланированную задачу и редактирует ключ реестра, выполняющийся после авторизации пользователя в Windows и позволяющий Snake сохранять персистентность на компьютере.

Стоит также отметить, что Snake дает своим операторам возможность еще на этапе упаковки выбирать, какие функции они будут активировать для вредоносного ПО. Эта настройка позволяет им оставаться скрытыми за счет уменьшения количества используемых в атаках функций.

Наконец, когда дело доходит до кражи данных, Snake использует подключение к серверу FTP или SMTP или протокол HTTPS POST на конечной точке Telegram.

Какова структура вируса? Как вирус проникает в клетку? Как происходит его размножение (репликация)?

Пользуясь порталом «ГОРОДСКОЙ РОДИЛЬНЫЙ ДОМ»,

Вы автоматически соглашаетесь с Правилами публикаций отзывов на сайте roddom-chita.ru

1.Общие положения:

1.1. Настоящие Правила регламентируют порядок размещения отзывов посетителей (пользователей) сайта roddom-chita.ru (далее – Сайт).

1.2. Посетители, приславшие отзывы для размещения на Сайте, (авторы отзывов), безвозмездно передают Администрации Сайта право свободного использования и предоставления широкого доступа к этим отзывам в пределах данного ресурса. Администрация Сайта оставляет за собой право использовать отзыв по собственному усмотрению и размещать его на других ресурсах (в печатных изданиях, на электронных носителях и т.д.).

2. Порядок публикации отзывов:

2.1. Администрация Сайта вправе самостоятельно и без уведомления пользователей отбирать отзывы для публикации, самостоятельно определять срок, в течение которого отзывы будут считаться актуальными.

2.2. До публикации отзыв проверяется Администрацией Сайта на соответствие настоящим Правилам, после чего Администрация Сайта принимает решение о его публикации.

2.3. Отзывы публикуются и используются без редактирования и поправок с сохранением авторской грамматики и пунктуации. Исключение составляет исправление явных опечаток.

2.4. В отзывах допускается только констатация и описание фактов, которые произошли с автором отзыва при обращении в ГУЗ «Городской родильный дом»

2.5. Отзывы без указания контактных данных (реальный e-mail пользователя, номер телефона и т.д.) считаются анонимными и на сайте не размещаются. В случае размещения такого отзыва, он наделяется пометкой: «Анонимный отзыв. Может содержать сведения, полностью не соответствующие действительности».

2.6. При размещении отзыва на Сайте администрация указывает исключительно имя автора отзыва. Контактные данные (реальный e-mail пользователя, номер телефона и т.д.) на страницах Сайта не указываются и не отображаются.

Контактными данными автора отзыва может воспользоваться исключительно Администрация сайта roddom-chita.ru для уточнения каких-либо данных, связанных с рассмотрением отзыва.

2.7. Администрация Сайта оставляет за собой право не публиковать отзыв пользователя, а также удалить с Сайта любой ранее опубликованный отзыв без объяснения причин и предупреждений в любое время.

2.8. В случае, если пользователь в будущем пожелает удалить свой отзыв с сайта roddom-chita.ru, он должен отправить запрос на удаление по адресу [email protected]

3. На сайте roddom-chita.ru не публикуются отзывы:

3.1. содержащие информацию, являющуюся клеветнической, дискредитирующей или угрожающей;

3.2. содержащие информацию, оскорбляющую честь и достоинство, а также национальные и религиозные чувства людей;

3.3. содержащие имена и другие персональные данные конкретных личностей, за исключением фамилии, имени, отчества медицинского работника ГУЗ «Городской родильный дом», в отношении которого написан отзыв;

3. 4. содержащие ненормативную лексику, высказывания оскорбительного характера и т.д.;

3.5. представляющие собой явную коммерческую рекламу, содержащие спам, контакты организаций и ссылки на сайты;

3.6. содержащие информацию, не относящуюся к деятельности ГУЗ «Городской родильный дом»;

3.7. содержащие призывы или агитацию не пользоваться услугами ГУЗ «Городской родильный дом»;

3.8. содержащие заведомо недостоверную информацию, призванную оттолкнуть клиентов от ГУЗ «Городской родильный дом»;

3.9. содержащие информацию о сравнении ГУЗ «Городской родильный дом» с другими юридическими лицами;

3.10. содержащие ссылки на отзывы, размещенные пользователями на других сайтах;

3.11. малоинформативные и необъективные.

4. Ответственность:

4.1. За содержание и достоверность информации в отзывах, размещаемых пользователями на сайте roddom-chita.ru, а также за нарушение прав третьих лиц, пользователь, разместивший данную информацию, несет ответственность самостоятельно.

4.2. Портал roddom-chita.ru, не является соавтором и распространителем данной информации, а лишь предоставляет площадку для ее размещения. Публикация отзыва на сайте не означает, что мнение Администрации сайта совпадает с мнением посетителя, оставившего отзыв. Администрация сайта не несет ответственности за достоверность сведений, содержащихся в отзывах.

4.3. В случае, возникновения претензий к пользователям, разместившим информацию, о достоверности размещенной информации, а также в случае, если размещенная информация, нарушает чьи либо права, портал обязуется, согласно действующему законодательству Российской Федерации, раскрыть всю имеющуюся информацию о данном пользователе (контактные данные (e-mail пользователя, номер телефона и т.д.)), в срок, предусмотренный законом.

5. Прочие условия:

5.1. Администрация сайта roddom-chita.ru оставляет за собой право на внесение изменений и дополнений в настоящие Правила в любой момент времени без уведомления посетителей (пользователей) Сайта. Изменения вступают в силу с момента их публикации.

Вирус — кассовые сборы — Кинопоиск

Кассовые сборы
В США:

$14 036 005 

45.8% 

В других странах:

$16 616 000 

54.2% 

Общие сборы:

$30 652 005 

 
 
 
Затраты
Бюджет:

$75 000 000 

 

Маркетинг:

— 

 

Итого:

$75 000 000 

 
 
 

Первый уик-энд (США)
Широкий прокат:

$6 013 640


42.

8%

(% от сборов) 

Макс. кол-во кинотеатров:

2 018


* по данным boxofficemojo.com
 

Прокат (США)
Широкий прокат:

15.01.1999

(кинотеатров: 2 018, ~$2 980)

 

Кассовые сборы уик-эндов (США)

Первый уик-энд →

Банкер Emotet: развитие угрозы | Securelist

Летом 2014 года компания Trend Micro сообщила об обнаружении новой угрозы – банковского троянца Emotet. В описании было указано, что зловред похищает банковские учетные данные пользователей путем перехвата трафика. Будем условно называть эту модификацию версией 1.

Осенью того же года мы обнаружили новую версию Emotet, которая привлекла наше внимание следующим:

  • Создатели троянца стали применять технологии автоматической кражи денег с банковских аккаунтов жертв – технологии так называемых «автозаливов».
  • Троянец использовал модульную структуру: в его состав входил собственно установочный модуль, модуль-банкер, модуль-спамбот, модуль для кражи адресных книг из MS Outlook и модуль, предназначенный для организации DDoS-атак (Nitol DDoS bot).
  • Создатели троянца прикладывали усилия для того, чтобы остаться незамеченными: сознательно не атаковали пользователей в зоне RU, атаки были нацелены на небольшое число немецких и австрийских банков (другие известные троянцы-банкеры не отличаются подобной избирательностью), доменное имя сервера автозаливов троянца часто менялось (один или несколько раз в сутки).

Далее будем называть эту модификацию Emotet версией 2 (бот содержит и передает на C&C числа 1 и 7, что, видимо, означает, что автор троянца считает эту сборку версией 1. 7).

Обе версии троянца атаковали клиентов немецких и австрийских банков.

#Банкер #Emotet нацелен на клиентов некоторых немецких, австрийских и швейцарских банков

Tweet

Мы внимательно наблюдали за версией 2 Emotet, однако в декабре 2014 года она свою активность завершила – командные серверы перестали отвечать зараженным компьютерам. Последняя команда, переданная с командных центров, была зафиксирована нами 10.12.2014 в 11:33:43 MSK.

Однако то, насколько серьезно авторы подошли к разработке этого троянца, и высокий уровень автоматизации его работы, не оставляли сомнений в том, что это еще не конец. Так и случилось – после небольшого перерыва в январе 2015 года Emotet появился снова! Присвоим этой модификации условный номер версии 3 (бот содержит и передает на C&C числа 1 и 16, что, видимо, означает, что автор троянца считает эту сборку версией 1.16).

По сути, Emotet версии 3 не сильно отличается от версии 2 – основные отличия направлены на повышение скрытности троянца. Из замеченных нами новшеств выделим следующие:

  • Троянец имеет новый встроенный публичный RSA-ключ, и, хотя протоколы общения Emotet версий 2 и 3 с командными центрами идентичны, в случае использования старого ключа бот не получит корректного ответа от командного центра.
  • Скрипты автозаливов частично очищены от отладочной информации и комментариев.
  • Новые мишени! Emotet теперь нацелился и на клиентов швейцарских банков.
  • Слегка изменена технология внедрения кода в адресное пространство (АП) explorer.exe. Версия 2 использовала классическую схему внедрения кода: OpenProcess+WriteProcessMemory+CreateRemoteThread. Версия 3 использует только два шага из предыдущей схемы – OpenProcess+WriteProcessMemory; запуск внедренного кода обеспечивается при помощи модификации кода функции ZwClose в АП процесса explorer.exe, что также достигается при помощи WriteProcessMemory.
  • Emotet версии 3 сопротивляется исследованию: если троянец обнаруживает, что запущен на виртуальной машине, он работает как обычно, но использует другой список адресов командных центров (C&C). Однако все эти адреса поддельные и нужны только для обмана исследователя.
  • Троянец почти не содержит в себе текстовых строк: все строки, которые могли бы насторожить исследователя, зашифрованы при помощи RC4 и расшифровываются в выделенной памяти непосредственно перед их использованием, после использования – уничтожаются.

В целом, у нас создалось впечатление, с помощью версии 2 были отработаны в «боевых» условиях основные технологии, используемые банкером, и на основании этой версии была написана версия 3, отличающаяся большей скрытностью.

Продуктами «Лаборатории Касперского» рассматриваемый троянец, независимо от версии, детектируется как Trojan-Banker.Win32.Emotet. Кроме того, мы детектируем отдельные составляющие Emotet:

  • Модуль для модификации HTTP(S)-трафика – Trojan-Banker.Win32.Emotet.
  • Спам-модуль – Trojan.Win32.Emospam.
  • Модуль для сбора почтовых адресов – Trojan.Win32.Emograbber.
  • Модуль для кражи учетных записей электронной почты – Trojan-PSW. Win32.Emostealer.
  • Модуль, предназначенный для организации DDoS-атак, – Trojan.Win32.ServStart.

По поводу последнего модуля отметим следующее: этот модуль мы видели также в связке с другим вредоносным ПО. Мы предполагаем, что он добавляется к Emotet криптером. Вполне возможно, что авторы Emotet ничего не знают о наличии этого модуля в составе их вредоносного ПО. Как бы то ни было, командные центры этого модуля не отвечают, модуль не обновляется (дата компиляции – 19 октября 2014 года).

Заражение

На сегодня нам известен единственный путь распространения банковского троянца Emotet – путем рассылки спам-писем с вредоносными вложениями или ссылками.

Вложенные файлы – обычные ZIP-архивы, внутри которых находится загрузчик Emotet. Файлы внутри архивов имеют длинное имя, например rechnung_november_2014_0003900028_2014_11_0029302375471_03_444_0039938289.exe. Это сделано сознательно: пользователь, открывший архив в стандартном Проводнике Windows, может не увидеть расширение . exe, так как избыточная часть имени файла может быть не отображена. Иногда вложение отсутствует, а в тексте письма содержится ссылка на вредоносный исполняемый файл или архив.

Банковский троянец #Emotet распространяется путем рассылки спам-писем с вредоносными вложениями или ссылками

Tweet

Примеры писем, использующихся для распространения троянца Emotet, приведены ниже.

Версия 2 (ссылка на зловред):

Версия 2 (вложенный архив):

Версия 3 (ссылка на зловред):

Обнаруженные нами письма почти полностью копируют письма от известных компаний – Deutsche Telekom AG и DHL International GmbH. Даже изображения, содержащиеся в письмах, загружаются с официальных серверов telekom.de и dhl.com соответственно.

В случае, когда письмо содержало ссылку на вредоносный файл, он скачивался с адресов взломанных легитимных сайтов:
hxxp://*******/82nBRaLiv (для версии 2)
или с адресов
hxxp://*******/dhl_paket_de_DE и hxxp://*******/dhl_paket_de_DE (для версии 3).

В Emotet версии 3 при обращении к адресам вида hxxp://*/dhl_paket_de_DE пользователю отдавался ZIP-архив с адреса вида
hxxp://*/dhl_paket_de_DE/dhl_paket_de_DE_26401756290104624513.zip.
Архив содержал в себе EXE-файл с длинным именем (чтобы скрыть расширение) и иконку PDF-документа.

Загрузка троянца

Файл троянца упакован криптером, основное назначение которого – сбить детекты антивирусного продукта. После запуска и отработки криптера управление получает основной модуль Emotet – загрузчик. Он должен закрепиться в системе, соединиться с командным сервером, скачать дополнительные модули и запустить их.

Закрепление в системе реализовано довольно стандартно – Emotet версии 2 сохраняет себя в «%APPDATA%\Identities» со случайным именем из 8 символов (например – wlyqvago.exe), добавляет себя в автозагрузку (HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run) и удаляет свой исходный файл при помощи запуска bat-файла, который создается в %APPDATA% с именем «ms[7_случайных_цифр]. bat».

Emotet версии 3 сохраняет себя в «%APPDATA%\Microsoft\» с именем формата «msdb%x.exe» (например – C:\Documents and Settings\Administrator\Application Data\Microsoft\msdbfe1b033.exe), добавляет себя в автозагрузку (HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run) и удаляет себя при помощи запуска bat-файла (который создается в %APPDATA%\del%x.bat).

После закрепления в системе Emotet получает список имен всех запущенных в ней процессов и считает хэш от имени каждого процесса, сравнивая полученное значение с жестко зашитым 0xB316A779 – этот хэш соответствует имени процесса explorer.exe. Таким образом Emotet находит процесс для внедрения своего тела. Далее троянец распаковывает свое основное тело и внедряет его в процесс explorer.exe.

Общение с командным центром

Основной модуль троянца – загрузчик – осуществляет общение с C&C с использованием RC4 шифрования.

Порт, к которому обращается загрузчик, жестко зашит в его коде – 8080.

Адреса командных центров

IP-адреса командных серверов Emotet жестко зашиты в коде бота. Их несколько, в одном из исследованных нами образцов версии 2 их было 30 (отметим, что 3 адреса из этого списка принадлежат известным легитимным ресурсам):

hxxp://109.123.78.10
hxxp://66.54.51.172
hxxp://108.161.128.103
hxxp://195.210.29.237
hxxp://5.35.249.46
hxxp://5.159.57.195
hxxp://206.210.70.175
hxxp://88.80.187.139
hxxp://188.93.174.136
hxxp://130.133.3.7
hxxp://162.144.79.192
hxxp://79.110.90.207
hxxp://72.18.204.17
hxxp://212.129.13.110
hxxp://66.228.61.248
hxxp://193.171.152.53
hxxp://129.187.254.237
hxxp://178.248.200.118
hxxp://133.242.19.182
hxxp://195.154.243.237
hxxp://80.237.133.77
hxxp://158.255.238.163
hxxp://91.198.174.192
hxxp://46.105.236.18
hxxp://205.186.139.105
hxxp://72.10.49.117
hxxp://133.242.54.221
hxxp://198.1.66.98
hxxp://148.251.11. 107
hxxp://213.208.154.110

В исследованном нами образце версии 3 командных центров было 19:

hxxp://192.163.245.236
hxxp://88.80.189.50
hxxp://185.46.55.88
hxxp://173.255.248.34
hxxp://104.219.55.50
hxxp://200.159.128.19
hxxp://198.23.78.98
hxxp://70.32.92.133
hxxp://192.163.253.154
hxxp://192.138.21.214
hxxp://106.187.103.213
hxxp://162.144.80.214
hxxp://128.199.214.100
hxxp://69.167.152.111
hxxp://46.214.107.142
hxxp://195.154.176.172
hxxp://106.186.17.24
hxxp://74.207.247.144
hxxp://209.250.6.60

Общение с C&C при запуске на виртуальной машине

Emotet версии 3 содержит в себе еще один список адресов «командных центров», он выглядит следующим образом:

hxxp://142.34.138.90
hxxp://74.217.254.29
hxxp://212.48.85.224
hxxp://167.216.129.13
hxxp://91.194.151.38
hxxp://162.42.207.58
hxxp://104.28.17.67
hxxp://8.247.6.134
hxxp://5.9.189.24
hxxp://78. 129.213.41
hxxp://184.86.225.91
hxxp://107.189.160.196
hxxp://88.208.193.123
hxxp://50.56.135.44
hxxp://184.106.3.194
hxxp://185.31.17.144
hxxp://67.19.105.107
hxxp://218.185.224.231

К этим адресам троянец пытается обращаться, если обнаруживает, что запущен на виртуальной машине. Но ни один из этих адресов не является корректным адресом командного центра бота, соответственно, бот терпит неудачу при попытке установить с ними соединение. Скорее всего, это сделано для того, чтобы ввести в заблуждение исследователя, создать у него впечатление, будто командные серверы троянца мертвы. Похожий прием применялся ранее в нашумевшем банковском троянце Citadel.

Если #Emotet запущен на виртуальной машине, он обращается к некорректным адресам C&C, чтобы обмануть аналитика

Tweet

Обнаружение виртуальных машин организовано довольно просто – по именам процессов, характерных для различных виртуальных машин. От имени каждого процесса в системе считается хэш по следующему алгоритму:

Алгоритм расчета хэш-значения от имени процесса

Полученное хэш-значение последовательно сравнивается со списком жестко зашитых в троянец значений:

Хэши от имен процессов, используемых для обнаружения виртуальных машин

Мы подобрали имена процессов для некоторых хэшей. Так, хэш 0xBCF398B5 соответствует процессу vboxservice.exe, хэш 0x2C967737 – процессу vmacthlp.exe, хэш 0xE3EBFE44 – процессу vmtoolsd.exe, 0x61F15513 – процессу vboxtray.exe.

Передаваемые данные

Запрос к командному центру выглядит в трафике следующим образом (приведен пример для версии 2, однако запрос версии 3 выглядит аналогично):

Диалог бота Emotet и его командного центра

URL-путь, к которому обращается бот, выглядит так: «/722ffc5e/355c7a0a/», где 722ffc5e – число, вычисленное на основе информации из маркера доступа пользователя, а 0x355c7a0a = 0x722ffc5e xor 0x47738654 (значение 0x47738654 жестко зашито в теле бота).

Данные, которые передаются ботом и командным центром, зашифрованы при помощи RC4, ответы, приходящие от командного центра, подписаны цифровой подписью. Вероятно, это сделано для того, чтобы усложнить перехват контроля над ботнетом: для того, чтобы пакет был принят ботом, он должен быть подписан, а для этого необходимо иметь секретный ключ.

В теле бота находится публичный RSA-ключ. В формате PEM для версии 2 он выглядит следующим образом:

PEM-представление открытого RSA-ключа, зашитого в теле бота версии 2

Как уже отмечалось выше, в версии 3 ключ изменился. В формате PEM он выглядит так:

PEM-представление открытого RSA-ключа, зашитого в теле бота версии 3

Пакет, отправляемый на сервер, формируется следующим образом:

  1. Генерируется запрос, включающий в себя идентификатор зараженного компьютера, значения, предположительно являющиеся версией бота, информацию о системе (версия ОС, версия сервис-паков, product type), жестко зашитый dword (значение в исследованном сэмпле – 7), контрольные суммы модуля «банкер» и информации о веб-инжектах. Информация об инжектах содержит: адрес страницы (с джокерами), на которую надо делать инжект; данные, идущие до внедряемых; данные, идущие после внедряемых, и внедряемые данные.
  2. От составленного запроса рассчитывается SHA1-хэш.
  3. Запрос шифруется при помощи сгенерированного случайным образом RC4-ключа длиной 128 бит.
  4. Сгенерированный RC4-ключ шифруется при помощи открытого RSA-ключа.
  5. Итоговый пакет представляет собой конкатенацию результатов, полученных на шагах 4, 2 и 3.

Таким образом, пакет запроса можно представить в виде схемы:

Структура запроса от бота к серверу

В ответ от сервера приходит пакет со следующей структурой:

Структура ответа сервера боту

В ответе может содержаться информация о веб-инжектах Emotet, модули Emotet и ссылки для загрузки внешних модулей (например, спам-бот или обновления загрузчика).

Модули

Как и подавляющее большинство современных троянцев-банкеров, Emotet имеет модульную структуру. На сегодняшний день мы обнаружили следующие модули:

Название Описание Способ доставки на заражаемую систему
loader загрузчик В спам-письмах или путем скачивания по ссылке со скомпрометированных сайтов (в случае обновления).
nitol-like-ddos-module DDoS-бот
mss спам-модуль Скачивается со скомпрометированных сайтов модулем loader
email_accounts_grabber граббер email-аккаунтов, использует Mail PassView – легитимное ПО, предназначенное для восстановления забытых паролей к аккаунтам почтовых систем Получается модулем loader в пакете-ответе от командного центра
banker модуль для модификации HTTP(S)-трафика Получается модулем loader в пакете-ответе от командного центра
outlook_grabber граббер адресной книги Outlook Получается модулем loader в пакете-ответе от командного центра

Некоторые модули могут работать и отдельно от модуля loader, так как ничего из него не импортируют.

Все устройство бота говорит о высокой степени автоматизации его работы: автоматически собираются новые email-адреса из адресных книг жертвы, автоматически рассылается спам с загрузчиком Emotet, автоматически выводятся деньги у пользователя. Участие оператора сведено к минимуму.

Вот, к примеру, отправленный злоумышленнику отчет модуля outlook_grabber (из Emotet версии 2) с украденной адресной книгой Outlook:

Украденная адресная книга Oulook, переданная на сервер злоумышленников

В качестве положительного момента отметим следующее: при попытке обратиться к одному из серверов злоумышленниковприходит ответ, содержащий «X-Sinkhole: Malware sinkhole», то есть украденные данные до злоумышленников не дойдут – данный домен, который использовался Emotet версии 2, уже не под контролем авторов троянца.

Однако для версии 3 дела обстоят иначе. Вот так выглядит отчет модуля email_accounts_grabber из Emotet версии 3:

Отчет, содержащий данные о почтовых аккаунтах пользователя

Очевидно, что сервер отвечает «200 OK». Это означает, что злоумышленники успешно получили переданные данные.

Отдайте ваши деньги!

Информация о внедряемых на страницу данных, полученная Emotet после распаковки, выглядит следующим образом:

Расшифрованные данные о веб-инжектах Emotet версии 2

Расшифрованные данные в веб-инжектах Emotet версии 3

Существенная разница в данных об инжектах разных версий заключается в следующем: Emotet версии 3 нацелился на клиентов швейцарских кредитных организаций. Пока мы не видели скриптов для автоматического хищения денег со счетов клиентов этих кредитных организаций, но мы уверены, что вскоре такие скрипты будут написаны.

Хотя отдельные фрагменты HTML-кода в расшифрованном пакете легко читаются, понять правила применения веб-инжектов по расшифрованным данным затруднительно. Ниже в формате JSON представлены несколько правил веб-инжектов для одной мишени – сайта одного из немецких банков (Emotet версии 2).

Правила веб-инжектов на сайт одного из немецких банков
(Emotet версии 2)

Применение данного веб-инжекта сводится к созданию нового элемента типа

, который будет иметь размер во всю видимую область страницы, а также к добавлению нового скрипта в HTML-документ. В приведенном примере скрипт загружался с адреса hxxps://*******.eu/birten/luck.php?lnk=js&id=44.

И аналогичная запись нескольких правил инжектов для новой мишени – сайта крупнейшего австрийского банка (Emotet версии 3).

Правила веб-инжектов на сайт одного из австрийских банков
(Emotet версии 3)

Очевидно, что структура конфигурационного файла с веб-инжектами классическая – используются поля, условно называемые data_before, data_after и data_inject (то есть данные, идущие до внедряемых, данные, идущие после внедряемых, и собственно внедряемые данные).

Стоит отметить, что адрес хоста, на котором расположен файл luck.php (для версии 2) и a_00. php (для версии 3), меняется часто, остальная же часть адреса скрипта постоянна. Если исследователь обратится к скрипту напрямую, он получит лишь сообщение об ошибке. Однако в реальной атаке, когда строка

будет добавлена в настоящую банковскую страницу, скрипт успешно загрузится.

Так происходит потому, что сервер злоумышленников проверяет поле «Referer» заголовка HTTP-запроса и отдает скрипт только в том случае, если запрос пришел со страницы одного из банков, атакуемых Emotet.

Подставив нужный Referer, можно легко получить код скрипта.

Мы в «Лаборатории Касперского» получили скрипты, предназначенные для внедрения на страницы атакуемых банков.

Таблица 1. Мишени Emotet версии 2, типы атак и идентификационные номера скриптов, загружаемых для проведения этих атак.

Таблица 2. Мишени Emotet версии 3, типы атак и идентификационные номера скриптов, загружаемых для проведения этих атак.

В одном из скриптов Emotet версии 2, который использовался для атаки на один из немецких банков, в комментариях присутствовала следующая строка:

Артефакт из скрипта для атаки на немецкий банк (Emotet версии 2)

Очевидно, что разработчики скриптов для атаки говорят по-русски.

Обход двухфакторной аутентификации

Основное назначение рассмотренных выше скриптов – провести мошеннический перевод денег со счета пользователя. Однако бот не может обойти системы двухфакторной аутентификации (Chip TAN или SMS TAN) самостоятельно, ему требуется участие пользователя. Для обмана потенциальной жертвы используются приемы социальной инженерии: сообщение, внедренное на веб-страницу при помощи скрипта, сообщает пользователю о том, что на сайте проводятся работы по внедрению новой системы безопасности, и работу нельзя продолжить до тех пор, пока пользователь не поучаствует в ее тестировании в демо-режиме.

Поддельное сообщение о новой системе безопасности

Далее – просьба о вводе реальных данных Chip TAN или SMS TAN для осуществления «тестового перевода»:

И, наконец, поздравление с тем, что работы успешно завершены:

На самом деле под видом тестового перевода вредоносный скрипт оформляет реальный перевод денег со счета жертвы на счет подставного лица – так называемого «дропа», а пользователь сам подтверждает этот перевод с помощью Chip TAN или SMS TAN.

Данные о счетах для перевода украденных денег не указаны в скрипте изначально, а приходят с командного сервера злоумышленников при помощи специального запроса. В ответ на него командный сервер возвращает строку с информацией о «дропе» для каждой конкретной транзакции. В комментариях в одном из скриптов была найдена строка:

Очевидно, злоумышленники тестировали свои скрипты, переводя 1500.9 EUR на тестовый счет.

Кроме того, в этом скрипте была найдена следующая информация о дропе:

В соответствующем скрипте Emotet версии 3, предназначенном для атаки на тот же банк, также была найдена информация о дропе, но уже о другом:

Сравним поля JSON __DropParam и поля в легитимной форме из демо-доступа в онлайн-систему атакуемого банка.

Форма системы ДБО банка для переводов внутри Германии или в зоне SEPA

Таблица 3. Соответствие между данными дропа и полями на форме перевода средств, а также пояснения значений этих полей

Имя поля в __DropParam JSON Имя соответствующего поля на форме Перевод Содержание поля
name Empfängername Имя получателя Реальное имя «дропа», которому уйдут похищенные деньги
ibanorkonto IBAN/Konto-Nr. Международный номер банковского счета / номер счета Номер счета, международный или местный, на который будут переведены деньги
bicorblz BIC/BLZ Код BIC или BLZ Международный банковский идентификационный код или идентификационный код, используемый немецкими и австрийскими банками (Bankleitzahl)
description Verwendungszweck Цель Назначение платежа
amount Betrag Сумма Переводимая сумма

Поля JSON __DropParam соответствуют полям на форме.

Таким образом, бот получает всю необходимую информацию о дропе со своего сервера и оформляет на него перевод, а введенный в заблуждение пользователь подтверждает перевод при помощи Chip TAN или SMS TAN и навсегда расстается со своими деньгами.

Заключение

Троянец Emotet представляет собой высокоавтоматизированную, развивающуюся, территориально-таргетированную банковскую угрозу. Небольшой размер, применяемые механизмы самораспространения и модульная архитектура делают Emotet весьма эффективным орудием киберпреступника.

Троянец #Emotet – высокоавтоматизированная, развивающаяся, территориально-таргетированная банковская угроза

Tweet

Однако принципиально новых технологий этот банковский троянец не использует, следовательно, применение современного антивирусного ПО поможет обеспечить надежную защиту от этой угрозы.

Кроме того, успешная работа этого банковского троянца невозможна без участия пользователя – создатели Emotet активно используют приемы социальной инженерии для достижения своих преступных целей.

Таким образом, бдительность и техническая грамотность пользователя вкупе с использованием современного антивирусного ПО – залог надежной защиты не только от Emotet, но и от новых банковских угроз, работающих аналогичным образом.

Некоторые MD5

Emotet версия 2:
7c401bde8cafc5b745b9f65effbd588f
34c10ae0b87e3202fea252e25746c32d
9ab7b38da6eee714680adda3fdb08eb6
ae5fa7fa02e7a29e1b54f407b33108e7
1d4d5a1a66572955ad9e01bee0203c99
cdb4be5d62e049b6314058a8a27e975d
642a9becd99538738d6e0a7ebfbf2ef6
aca8bdbd8e79201892f8b46a3005744b
9b011c8f47d228d12160ca7cd6ca9c1f
6358fae78681a21dd26f63e8ac6148cc
ac49e85de3fced88e3e4ef78af173b37
c0f8b2e3f1989b93f749d8486ce6f609
1561359c46a2df408f9860b162e7e13b
a8ca1089d442543933456931240e6d45

Emotet версия 3:
177ae9a7fc02130009762858ad182678
1a6fe1312339e26eb5f7444b89275ebf
257e82d6c0991d8bd2d6c8eee4c672c7
3855724146ff9cf8b9bbda26b828ff05
3bac5797afd28ac715605fa9e7306333
3d28b10bcf3999a1b317102109644bf1
4e2eb67aa36bd3da832e802cd5bdf8bc
4f81a713114c4180aeac8a6b082cee4d
52f05ee28bcfec95577d154c62d40100
772559c590cff62587c08a4a766744a7
806489b327e0f016fb1d509ae984f760
876a6a5252e0fc5c81cc852d5b167f2b
94fa5551d26c60a3ce9a10310c765a89
A5a86d5275fa2ccf8a55233959bc0274
b43afd499eb90cee778c22969f656cd2
b93a6ee991a9097dd8992efcacb3b2f7
ddd7cdbc60bd0cdf4c6d41329b43b4ce
e01954ac6d0009790c66b943e911063e
e49c549b95dbd8ebc0930ad3f147a4b9
ea804a986c02d734ad38ed0cb4d157a7

Автор выражает признательность Владимиру Кускову, Олегу Купрееву и Юрию Наместникову за помощь при подготовке данной публикации.

Что такое троянский вирус | Вредоносное ПО

троянского коня

Что такое троянский вирус

Троянские программы — это программы-обманщики, которые, казалось бы, выполняют одну функцию, но на самом деле выполняют другую, вредоносную функцию. Они могут быть замаскированы под бесплатное программное обеспечение, видео или музыку или кажущуюся законной рекламу.

Термин «троянский вирус» технически неточен; согласно большинству определений, трояны не являются вирусами. Вирус — это программа, которая распространяется, присоединяясь к другому программному обеспечению, тогда как троян распространяется, притворяясь полезным программным обеспечением или содержимым.Многие эксперты считают шпионские программы, которые отслеживают действия пользователя и отправляют журналы или данные злоумышленнику, разновидностью троянов.

Трояны могут действовать как самостоятельные инструменты для злоумышленников или могут быть платформой для других вредоносных действий. Например, трояны-загрузчики используются злоумышленниками для доставки будущей полезной нагрузки на устройство жертвы. Троянские руткиты могут использоваться для постоянного присутствия на устройстве пользователя или в корпоративной сети.

Методы заражения троянами

Вот распространенные способы заражения компьютеров в корпоративной сети троянами:

  • Пользователь стал жертвой фишинга или других видов социальной инженерии, открывает зараженное вложение электронной почты или переходит по ссылке на вредоносный веб-сайт
  • Пользователь посещает вредоносный веб-сайт и испытывает попутную загрузку, выдающую себя за полезное программное обеспечение, или ему предлагается загрузить кодек для воспроизведения видео- или аудиопотока
  • Пользователь посещает законный веб-сайт, зараженный вредоносным кодом (например, вредоносной рекламой или межсайтовым скриптингом)
  • Пользователь загружает программу, издатель которой неизвестен или не авторизован политиками безопасности организации
  • Злоумышленники устанавливают троян, используя уязвимость в программном обеспечении или путем несанкционированного доступа

Троянец Daserf, созданный группой кибершпионажа REDBALDKNIGHT, часто устанавливается с помощью документов-приманок, прикрепленных к электронным письмам.

×

Типы троянов

Первым обнаруженным в дикой природе трояном был ANIMAL, выпущенный в 1975 году. С тех пор появилось много миллионов вариантов троянов, которые можно разделить на множество типов. Вот некоторые из наиболее распространенных типов.

Троян-загрузчик

Троян-загрузчик загружает и развертывает другой вредоносный код, например руткиты, программы-вымогатели или кейлоггеры.Многие типы программ-вымогателей распространяются через «дроппер» — троян-загрузчик, который устанавливается на компьютер пользователя и развертывает другие вредоносные компоненты.

Дроппер часто является первым этапом многоэтапной троянской атаки, за которой следует установка другого типа троянов, обеспечивающих злоумышленникам постоянную точку опоры во внутренней системе. Например, дроппер можно использовать для внедрения троянского бэкдора на чувствительный сервер.

Троян-бэкдор

Троян-бэкдор открывает секретный коммуникационный туннель, позволяя локальному развертыванию вредоносного ПО связываться с центром управления и контроля злоумышленника.Это может позволить хакерам контролировать устройство, отслеживать или красть данные, а также развертывать другое программное обеспечение.

Шпионское ПО

Шпионское ПО — это программное обеспечение, которое отслеживает действия пользователей, собирая конфиденциальные данные, такие как учетные данные или банковские реквизиты. Они отправляют эти данные обратно злоумышленнику. Шпионское ПО обычно маскируется под полезное программное обеспечение, поэтому его обычно считают разновидностью троянов.

Трояны-руткиты

Трояны-руткиты получают корневой или административный доступ к машине и загружаются вместе с операционной системой или даже раньше операционной системы. Это затрудняет их обнаружение и удаление.

Троянец DDoS-атаки (ботнет)

Троян DDoS превращает устройство жертвы в зомби, участвующего в более крупном ботнете. Цель злоумышленника — собрать как можно больше компьютеров и использовать их в злонамеренных целях без ведома владельцев устройств — как правило, для переполнения серверов фальшивым трафиком в рамках атаки распределенного отказа в обслуживании (DoS).

Примеры вредоносных программ троянского коня

Ниже приведены некоторые из наиболее быстро распространяющихся и наиболее опасных семейств троянов.

Зевс

Zeus/Zbot — это вредоносный пакет, работающий по модели клиент/сервер, при этом развернутые экземпляры возвращаются домой в центр управления и контроля Zeus (C&C). По оценкам, он заразил более 3,6 миллиона компьютеров в США, включая машины, принадлежащие NASA, Bank of America и Министерству транспорта США.

Zeus заражает компьютеры Windows и отправляет конфиденциальные данные с компьютера жертвы на сервер Zeus. Он особенно эффективен для кражи учетных данных, банковских реквизитов и другой финансовой информации и передачи их злоумышленникам.

Слабое место системы Zeus — единый C&C-сервер, который был основной целью правоохранительных органов. Более поздние версии Zeus добавили алгоритм генерации домена (GDA), который позволяет Zbots подключаться к списку альтернативных доменных имен, если сервер Zeus недоступен.

Zeus имеет множество вариантов, в том числе:

  • Zeus Gameover — одноранговая версия ботнета Zeus без централизованного C&C.
  • SpyEye — предназначен для кражи денег с банковских счетов в Интернете.
  • Ice IX — финансовое вредоносное ПО, способное управлять содержимым браузера во время финансовой транзакции и извлекать учетные данные и личные данные из форм.
  • Citadel — вариант Zeus с открытым исходным кодом, над которым работало и улучшало сообщество киберпреступников, а на смену ему пришла Atmos.
  • Carberp — один из самых распространенных финансовых вредоносных программ в России. Может использовать уязвимости операционной системы для получения root-доступа к целевым системам.
  • Shylock — использует алгоритм генерации домена (DGA), используемый для получения команд от большого количества вредоносных серверов.

ЛЮБЛЮ ТЕБЯ

ILOVEYOU (обычно называемый «вирусом ILOVEYOU») — троян, выпущенный в 2000 году и использованный в самой разрушительной в мире кибератаке, которая нанесла глобальный ущерб в размере 8,7 миллиарда долларов.

Троянец распространялся в виде фишингового письма с текстом «Пожалуйста, проверьте вложенное любовное письмо от меня» с вложением «ILOVEYOU», которое оказалось текстовым файлом.Получатели, которые были достаточно любопытны, чтобы открыть вложение, заражались, троян перезаписывал файлы на машине, а затем рассылал себя всему их списку контактов. Этот простой, но эффективный метод распространения привел к тому, что вирус распространился на миллионы компьютеров.

Криптолокер

Cryptolocker — распространенная форма программ-вымогателей. Распространяется с помощью зараженных вложений электронной почты; обычное сообщение содержит зараженный ZIP-файл, защищенный паролем, с паролем, содержащимся в сообщении.Когда пользователь открывает ZIP-архив, используя пароль, и щелкает вложенный PDF-файл, троян активируется. Он ищет файлы для шифрования на локальных дисках и подключенных сетевых дисках и шифрует файлы, используя асимметричное шифрование с 1024- или 2048-битными ключами. Затем злоумышленники требуют выкуп за освобождение файлов.

Стакснет

Stuxnet — специализированный троянец Windows, предназначенный для атаки на промышленные системы управления (ICS). Предположительно, он использовался для атаки на ядерные объекты Ирана.Вирус заставил мониторы операторов вести себя как обычно, в то время как он изменил скорость иранских центрифуг, заставив их вращаться слишком долго и слишком быстро, и разрушив оборудование.

Как обнаружить трояны в вашей организации

Трояны

представляют собой серьезную угрозу для организационных систем и инструмент, обычно используемый как часть расширенных постоянных угроз (APT). Команды безопасности могут использовать следующие технологии и методы для обнаружения и предотвращения троянов:

Платформы защиты конечных точек

Современные системы защиты конечных точек включают в себя традиционный антивирус для устройств, антивирус нового поколения (NGAV), который может предотвращать появление неизвестных троянских программ нулевого дня, а также поведенческую аналитику, которая выявляет аномальную активность на пользовательских устройствах.Эта комбинация защитных мер эффективна против большинства троянов.

Брандмауэр веб-приложений (WAF)

WAF развернут на границе сети и способен предотвратить заражение троянами, предотвращая загрузку полезной нагрузки троянов из подозрительных источников. Кроме того, он может обнаруживать и блокировать любое необычное или подозрительное сетевое соединение. WAF могут блокировать трояны, когда они «звонят домой» в свой центр управления, делая их неэффективными, и могут помочь идентифицировать затронутые системы.

Поиск угроз

Поиск угроз — это практика активного поиска угроз в корпоративных сетях опытными аналитиками безопасности. Аналитики используют системы управления информацией и событиями безопасности (SIEM) для сбора данных из сотен ИТ-систем и инструментов безопасности, а также используют расширенные методы поиска и анализа данных для обнаружения следов троянских программ и других угроз, присутствующих в локальной среде.

Рассмотрение жалоб пользователей

Часто простая жалоба пользователя на медленную работу компьютера или странное поведение пользовательского интерфейса может сигнализировать о троянской программе.Сопоставление запросов ИТ-поддержки с поведенческой аналитикой и данными других инструментов безопасности может помочь выявить скрытые трояны.

Ниже перечислены распространенные симптомы троянов, о которых могут сообщать пользователи:

  • Появляются всплывающие окна, запускаемые браузером пользователя или операционной системой
  • Дисковое пространство исчезает, необъяснимые постоянные ошибки диска
  • Низкая производительность системы, машина внезапно замедляется без видимой причины
  • Мышь или клавиатура работают самостоятельно
  • Компьютер выключается или перезагружается без действий пользователя
  • Изменение образа рабочего стола или конфигурации
  • Перейти на домашнюю или начальную страницу браузера
  • Поиск перенаправляет на неизвестный домен
  • Системный брандмауэр или антивирус отключены без вмешательства пользователя
  • Необычная сетевая активность, когда пользователь не активен
  • Новые программы, избранное или закладки, не добавленные пользователем

Решения для защиты данных Imperva

Imperva помогает обнаруживать и предотвращать трояны с помощью управления правами пользователей — она отслеживает доступ к данным и действия привилегированных пользователей для выявления чрезмерных, неуместных и неиспользуемых привилегий.Он также предлагает лучший в отрасли брандмауэр веб-приложений (WAF), который может обнаруживать и блокировать трояны, когда они пытаются связаться с их центром управления и контроля.

В дополнение к обнаружению и предотвращению программ-вымогателей решение Imperva для защиты данных защищает ваши данные, где бы они ни находились — локально, в облаке и гибридных средах. Он также предоставляет специалистам по безопасности и ИТ полную информацию о том, как осуществляется доступ к данным, как они используются и перемещаются по организации.

Наш комплексный подход основан на нескольких уровнях защиты, в том числе:

  • Брандмауэр базы данных — блокирует SQL-инъекции и другие угрозы, а также проводит оценку известных уязвимостей.
  • Маскировка и шифрование данных — запутывает конфиденциальные данные, чтобы они были бесполезны для злоумышленника, даже если каким-то образом были извлечены.
  • Защита от потери данных (DLP) — проверяет данные в движении, в состоянии покоя на серверах, в облачном хранилище или на конечных устройствах.
  • Аналитика поведения пользователей — устанавливает базовые уровни поведения при доступе к данным, использует машинное обучение для обнаружения и оповещения о ненормальных и потенциально опасных действиях.
  • Обнаружение и классификация данных — раскрывает расположение, объем и контекст данных в локальной среде и в облаке.
  • Мониторинг активности базы данных — отслеживает реляционные базы данных, хранилища данных, большие данные и мейнфреймы для создания предупреждений в реальном времени о нарушениях политики.
  • Приоритизация предупреждений — Imperva использует искусственный интеллект и технологию машинного обучения для просмотра потока событий безопасности и определения приоритета наиболее важных.

Троянское вредоносное ПО | Документы Майкрософт

  • Статья
  • 2 минуты на чтение
  • 1 участник

Полезна ли эта страница?

да

Нет

Любая дополнительная обратная связь?

Отзыв будет отправлен в Microsoft: при нажатии кнопки отправки ваш отзыв будет использован для улучшения продуктов и услуг Microsoft.Политика конфиденциальности.

Представлять на рассмотрение

В этой статье

Трояны

— распространенный тип вредоносных программ, которые, в отличие от вирусов, не могут распространяться самостоятельно. Это означает, что их либо нужно загружать вручную, либо другое вредоносное ПО должно загрузить и установить их.

Трояны

часто используют те же имена файлов, что и настоящие и законные приложения.Легко случайно загрузить троян, думая, что это законное приложение.

Как работают трояны

Трояны могут быть разных видов, но обычно они выполняют следующие функции:

  • Загрузите и установите другие вредоносные программы, такие как вирусы или черви.

  • Использовать зараженное устройство для мошенничества с кликами.

  • Запись нажатий клавиш и посещенных веб-сайтов.

  • Отправлять злоумышленнику информацию о зараженном устройстве, включая пароли, данные для входа на веб-сайты и историю посещенных страниц.

  • Предоставить злоумышленнику контроль над зараженным устройством.

Как защититься от троянов

Используйте следующее бесплатное программное обеспечение Microsoft, чтобы обнаружить и удалить его:

Более общие советы см. в разделе Предотвращение заражения вредоносным ПО.

Что такое троянский вирус? — Trojan Horse Virus

Троянские вирусы представляют собой огромную угрозу для бизнеса и частных лиц. Они незаметны, часто остаются незамеченными и могут привести к целому ряду побочных эффектов от вредоносных программ.Они могут предоставить доступ к конфиденциальным данным и учетным данным или использоваться для проведения специальных атак и вымогательства бизнеса. За зараженным трояном устройством можно следить и контролировать любым количеством способов. Эти вредоносные программы можно найти в электронных письмах, на веб-сайтах и ​​даже в телефонах.

Как именно они работают и что можно сделать, чтобы их предотвратить? Мы глубоко погрузимся в мир троянских вирусов и расскажем, что вы можете сделать, чтобы защитить свой бизнес от них.

Если вы знакомы с историей вторжения в Трою, вы уже имеете представление о том, как работает этот тип обмана.По сюжету жители Трои приняли мирное предложение от враждующих греков в виде гигантского деревянного коня. После того, как их перевезли за городские стены, греческие солдаты вышли из коня и быстро взяли город. Троянский вирус действует по принципу маскировки под безобидное или даже полезное вложение или ссылку. Получив доступ к устройству, вирус может нанести ущерб разными способами.

Один из примеров заражения троянами происходит, когда пользователь инициирует загрузку или щелкает ссылку, которая кажется законной.Вместо того, чтобы получить ожидаемую программу, пользователь загружает троянца, который часто хорошо скрыт от протоколов безопасности и антивирусного ПО. После установки троянец может делать все, от отслеживания нажатий клавиш до управления вашим рабочим столом.

Хотя обычно это название называют троянским вирусом, на самом деле это неправильное название. Вирусы по определению реплицируют себя. Хотя трояны могут включать в себя вирусы, они относятся ко многим типам вредоносных программ, включая червей или программы-вымогатели. Слово «троян» более точно используется для обозначения метода доставки, используемого для внедрения вредоносного ПО.Вы часто будете слышать такие термины, как троянский вирус, вирус троянского коня и троянское вредоносное ПО, которые используются взаимозаменяемо. В основе всех них лежит то, как они выглядят как безобидные или полезные программы для получения доступа к системе.

Как работают трояны?

Трояны — универсальный тип вредоносного ПО со множеством эффектов и путей проникновения. Во многих случаях они используют троянскую программу-дроппер, которая представляет собой вспомогательную программу, которая сама по себе не делает ничего вредоносного, но создает путь, по которому троян может проникнуть незамеченным.По сути, вспомогательный вирус — это деревянный конь, а троянский вирус — это греческие солдаты внутри.

Дроппер помогает троянцу пройти через антивирусную защиту, такую ​​как контроль учетных записей (UAC), элемент Windows, который уведомляет пользователя о действиях, затрагивающих критические элементы системы. Проскользнув мимо, дроппер размещает троянца и может затем удалить себя. Некоторые типы дропперов остаются в системе, чтобы проложить путь для новых вредоносных программ, и переустановят себя, если их удалить.

Чтобы занести на устройство дроппер и вредоносную программу, многие хакеры прибегают к социальной инженерии.Социальная инженерия — это метод манипулирования, основанный на человеческом факторе — он нацелен на наше поведение, используя такие эмоции, как желание, страх и невежество, чтобы убедить нас сделать то, что хочет хакер. Пользователей могут убедить загрузить подозрительный файл, щелкнуть ненадежную ссылку или позвонить по случайному номеру за помощью, что в конечном итоге предоставит злоумышленнику доступ.

Защититься от социальной инженерии сложно, потому что это не так просто, как добавить брандмауэр или новое оборудование. Даже самая высокотехнологичная установка мало что даст, если сотрудник передаст кому-то свой пароль.Социальная инженерия является серьезной проблемой для троянов. В отчете Verizon об утечке данных за 2021 год социальная инженерия была наиболее распространенной причиной утечки данных, и 85% нарушений были связаны с человеческим фактором.

Способы заражения троянами

Возможные способы заражения пользователя троянским конем включают следующие. Многие из них могут пересекаться, и вы заметите, что большинство из них являются формой социальной инженерии:

1. Фишинг

Попытка фишинга обычно выглядит как электронное письмо, текстовое сообщение или телефонный звонок от законно выглядящего бизнеса.Отправитель может попытаться убедить вас, что вам нужно совершить платеж, подтвердить данные учетной записи или запросить приз. После перехода по ссылке или загрузки вложения вы также загрузили Trojan.

Существует множество типов фишинговых атак, которые могут происходить даже в социальных сетях и иногда предназначены для важных целей, таких как руководители высшего звена. Хотя многие попытки фишинга довольно изощренны, большинство из них имеют некоторые контрольные признаки, и их можно избежать при правильной подготовке. Такие аспекты, как неудобное форматирование, неофициальные электронные письма и подозрительные вложения, могут указывать на фишинговое письмо.

2. Scareware

Scareware пытается убедить вас в необходимости загрузки программного обеспечения для защиты вашего компьютера. Типичным примером является всплывающее окно, в котором утверждается, что ваш компьютер заражен, и вам необходимо установить хакерский антивирус, чтобы это исправить. Конечно, «решение» на самом деле представляет собой троянца, который депонирует вредоносное ПО. Как следует из названия, пугающие программы нацелены на страх и пытаются вызвать чувство срочности. Другие потенциальные угрозы связаны с финансами, например, хакер, выдающий себя за сотрудника Налоговой службы (IRS) или вашего банка.

3. Автоматические загрузки

Еще один простой механизм — загрузка, которая начинается автоматически при посещении веб-сайта. Посещая ненадежные веб-сайты, вы можете стать жертвой троянов. В большинстве браузеров есть параметры для предотвращения автоматических загрузок, которые могут помочь предотвратить многие из этих троянских программ.

4. Добровольная загрузка

Некоторых людей не нужно убеждать, и они охотно загрузят программу, если считают, что она содержит что-то достоверное.Пользователь может загрузить приложение онлайн, думая, что оно легитимно, а вместо этого получить троян. Многие операционные системы будут предупреждать вас о запуске ненадежных приложений, но люди могут обойти эти предупреждения, а некоторые трояны-дропперы могут их обойти.

5. Программные эксплойты

Создатели программного обеспечения выявляют уязвимости и выпускают исправления. Если вы не примените эти обновления, хакеры могут использовать известную уязвимость в программном обеспечении, сетях и операционных системах для установки троянца на устройство.Известный червь Code-Red, например, использовал уязвимости в серверах Microsoft, чтобы распространяться повсюду, поражая более 2000 новых хостов каждую минуту. Трояны могут сканировать систему в поисках слабых мест и концентрироваться на том, что они находят.

Типы троянов

Трояны могут иметь множество целей, но обычно хакеры гонятся за деньгами. Чтобы получить его, они могут использовать информацию о банковском счете или конфиденциальные корпоративные данные, удерживая их в заложниках или угрожая уничтожить

Хакеры также могут использовать устройство жертвы для распространения троянца или выполнения гнусных задач.Когда это происходит, это обычно происходит в форме ботнета, который представляет собой сеть, состоящую из зараженных устройств, контролируемых злоумышленником. Ботнеты могут использоваться для проведения распределенных атак типа «отказ в обслуживании» (DDoS). DDoS-атаки используются для отключения веб-сайта путем перегрузки его многочисленными запросами со всех устройств в сети, что превышает пропускную способность сети и может вызвать проблемы для бизнеса и правительства. Целью DDoS-атак может быть что угодно: от политических атак до устранения корпоративной конкуренции.

Вот несколько примеров вредоносных троянов:

  • Троян-бэкдор: Предоставляет хакеру удаленный контроль над компьютером, с которого он может получить доступ к личной информации или связать компьютер с ботнетом
  • Банковский троянец: Цели данные финансового счета, такие как логин в онлайн-банке и информация о карте
  • Троянец-эксплойт: Использует уязвимость в приложении, обычно не исправленную
  • Троянец удаленного доступа: местоположение
  • Троянец DDoS: Связывает компьютер с ботнетом для проведения DDoS-атаки и вывода из строя веб-сайта
  • Троянец Cryxos: когда хакер может получить удаленный доступ к компьютеру
  • Троян-шпион: Собирает информацию ab
  • Троянец FakeAV: Представляет собой антивирусное программное обеспечение, сообщающее о несуществующих угрозах для финансовых платежей или загрузке вредоносного ПО
  • Троянец Mailfinder: Собирает адреса электронной почты с зараженного устройства. для проведения дальнейших атак. или искажает компьютерные данные и держит их в заложниках, прежде чем потребовать от компании выкуп. на что нужно обращать внимание, когда дело доходит до Троянские вирусы, и признаки не всегда очевидны.

    Воздействие троянского вируса

    Троянские вирусы могут повлиять на многие аспекты бизнеса, от безопасности и финансов до репутации и эффективности. Например, троянец-вымогатель может опустошить банковский счет, остановить операции, привести к утечке конфиденциальной информации и повлиять на ваш имидж в глазах клиентов. Поскольку трояны, как правило, хорошо прячутся, вы, скорее всего, почувствуете эти эффекты, прежде чем узнаете, что вредоносное ПО находится там.

    Эти вредоносные программы часто работают в фоновом режиме вашего компьютера, поэтому они могут способствовать снижению производительности или более частым сбоям.Если вы заметили, что ваш компьютер работает медленнее или часто дает сбой, это может быть признаком троянской программы. Другие раздражающие аспекты поражают ваш веб-браузер и электронную почту. Вы можете увидеть больше всплывающих окон, перенаправлений на отрывочные веб-сайты или увеличение количества спама в папке «Входящие». Необычные сообщения или графические сбои также могут свидетельствовать о трояне.

    Даже если вы видите эти эффекты, запуск антивирусной проверки не всегда эффективен, и некоторые трояны могут отключить ваш антивирус или другие программы безопасности. От троянов может быть невероятно сложно избавиться, особенно если они изощренны, например, атаки руткитов.Иногда единственным решением является полная переустановка операционной системы. Это также удаляет все данные на этом устройстве и не может защитить данные, которые уже были скомпрометированы.

    В то время как троянские программы могут иметь серьезные последствия для отдельных лиц, они могут нанести ущерб бизнесу. Имея под рукой так много конфиденциальных данных, организации имеют большую ценность в глазах хакеров. Они могут быть после вас или ваших клиентов финансовые данные или личную информацию. Они также могут заниматься корпоративным шпионажем или пытаться вымогать у вас деньги.Этим злоумышленникам нет предела, поэтому трояны должны быть включены в вашу стратегию защиты данных.

    Могут ли трояны заражать сотовые телефоны?

    Трояны могут заражать сотовые телефоны. Обычно это происходит на устройствах Android, когда пользователь загружает программу по неофициальным каналам, например с ненадежного веб-сайта. Даже официальные каналы могут иногда пропускать вредоносное ПО, если требования для загрузки приложения невелики. Загружая только от надежных, авторитетных разработчиков, вы можете снизить этот риск.Выпущенные компанией устройства должны иметь надежные политики и ограничения для предотвращения несанкционированных загрузок.

    По сравнению с Android, iPhone использует более ограниченный процесс песочницы. Песочница — это метод разработки, при котором приложения изолируются от других важных систем устройства, что предотвращает неограниченный доступ к системным ресурсам. Другими словами, каждое приложение работает само по себе и не взаимодействует с другими частями устройства.

    В то время как в Android есть песочница, Apple предлагает более строгие настройки и надежный процесс проверки разработчиков, который предотвращает проникновение вредоносных программ.Если iPhone заражается трояном, обычно это происходит потому, что телефон был взломан. Телефоны для джейлбрейка требуют обхода ограничений производителя, включая политики безопасности, поэтому неудивительно, что это создает путь для вредоносных программ.

    Как защитить себя от троянов

    От троянов особенно сложно избавиться, когда они уже установлены, поэтому профилактика — лучший способ победить их. Ниже приведены некоторые рекомендации по предотвращению троянских программ в компаниях:

    1. Оставайтесь подозрительными

    Пользователи никогда не должны загружать программное обеспечение или нажимать на вложения, если они не уверены на 100%, что они заслуживают доверия.Рассмотрите ограничения и политики устройств, которые разрешают загрузку только программ, разрешенных вашей ИТ-командой. Научите сотрудников быть начеку и следить за нагнетающими страх всплывающими окнами или странными электронными письмами, указывающими на фишинг. Когда бизнес-данные находятся под угрозой, лучше перестраховаться, чем потом сожалеть.

    2. Немедленно обновите программное обеспечение

    Выполните обновления как можно скорее. Многие трояны и другие типы вредоносных программ нацелены на известные и исправленные уязвимости. Без обновления вы оставляете свои системы открытыми для эксплойтов.Убедитесь, что все программное обеспечение и операционные системы регулярно обновляются или, что еще лучше, автоматически обновляются.

    3. Обучите свою команду

    Поскольку многие трояны нацелены на человеческое поведение, крайне важно, чтобы ваша команда знала, на что обращать внимание. Они должны быть тщательно обучены тому, как избегать фишинговых атак и обеспечивать защиту своих устройств. Внедрите программу тестирования, которая оценивает их способность обнаруживать и сообщать о попытках фишинга, сохраняя при этом бдительность.

    Некоторые темы для обучения включают:

    • Контрольные признаки фишинга, такие как отрывочные адреса электронной почты, опечатки и несовпадающие ссылки во всплывающих окнах или подозрительных ссылках и никогда не загружать из ненадежных источников
    • Использование передовых методов работы с паролями
    • Отслеживание незначительных изменений в производительности компьютера или отображения, таких как медленная работа, другое разрешение экрана или новые программы, которые они не устанавливали
    • Знать, что делать при подозрении на вредоносное ПО — обычно к кому обращаться в отдел ИТ

    4.Установите брандмауэр и антивирусную программу

    Если ваш офис является физическим офисом, возможно, у вас уже есть брандмауэр, но если нет, рассмотрите возможность его установки. Брандмауэр подобен фильтру, который следует определенным параметрам, чтобы предотвратить вредоносные сообщения. Даже если сотрудник пытается загрузить что-то вредоносное, брандмауэры часто эффективно предотвращают заражение пользовательских устройств. Брандмауэр — это не серебряная пуля, но он необходим для обеспечения безопасности и исторически считался первой линией защиты.

    Сильная антивирусная программа также может быть ценной частью головоломки. Это программное обеспечение должно исходить от авторитетной компании, которая противостоит конкретным угрозам, с которыми сталкивается ваш бизнес. Фильтры электронной почты — еще один хороший способ защититься от троянов. У большинства почтовых провайдеров есть надежные фильтры спама, которые могут перехватывать большинство попыток фишинга.

    5. Регулярно делайте резервные копии

    Хотя резервное копирование данных не защитит от троянов, оно может сделать их менее опасными. Если ваш бизнес станет жертвой программ-вымогателей, которые держат ваши данные в заложниках, недавние резервные копии могут избавить вас от уступок их требованиям.Вы можете просто восстановить данные и продолжить как обычно. То же самое касается других атак, которые повреждают устройство или его данные.

    Облачные резервные копии могут быть особенно полезны, если устройство заражено. Скажем, хакер следит за экраном сотрудника. Сотрудник обнаруживает его и продолжает работу с другого устройства, пока ИТ-специалисты разбираются с троянцем. Облачное резервное копирование устраняет проблемы, связанные с конкретным устройством, благодаря доступу к файлам из любого места.

    6. Работайте только с надежными партнерами

    Многие трояны поступают из ненадежных источников или из-за плохой безопасности.Вероятно, у вас есть множество программ и компаний, с которыми вы сотрудничаете, чтобы выполнить свою работу, например, поставщики антивирусов и электронной почты. Убедитесь, что все, с кем вы работаете, соблюдают строгие стандарты безопасности. У большинства известных и признанных компаний есть надежная политика, но всегда важно делать свою домашнюю работу.

    Как Box помогает защитить ваши важные данные

    Одним из наиболее заметных рисков троянских программ является раскрытие бизнес-данных. У вас может быть конфиденциальная информация о клиенте, номера финансовых счетов, конфиденциальные файлы дизайна и любое количество документов, которые хакеры могут использовать для вымогательства и обмана.Менее сложные методы обработки данных также могут быть главной возможностью для заражения троянскими программами. Если вы отправляете и загружаете файлы по электронной почте или через плохо защищенные хостинги, вы становитесь более уязвимыми.

    Box решает эти проблемы, предоставляя исключительные инструменты управления контентом для всех видов бизнеса. С помощью Box Shield вы можете использовать машинное обучение для надежной защиты всех ваших данных на протяжении всего жизненного цикла контента. Благодаря таким функциям, как встроенная автоматическая классификация и своевременные оповещения об угрозах вредоносных программ, Box Shield делает защиту данных простой, масштабируемой и эффективной.

    Возможности, которые вы можете ожидать от Box Shield и Content Cloud, включают:

    • Автоматическую классификацию на основе информации, позволяющей установить личность (PII), интеллектуальной собственности и пользовательских терминов
    • Детальные разрешения и настраиваемые политики доступа для соответствия различным типам документов
    • Интеллектуальное обнаружение угроз для простой идентификации аномального поведения и наличия вредоносного ПО
    • Сквозное 256-битное шифрование AES
    • Подробные журналы аудита и административная отчетность
    • Двухфакторная аутентификация
    • Простое соблюдение отраслевых норм

    Узнайте больше о том, что может предложить Box

    Помимо надежной защиты, Content Cloud предлагает множество инструментов для максимально эффективного использования вашего контента: от совместной работы в реальном времени до встроенных электронных подписей и автоматизированных рабочих процессов.Нам доверяют более 100 000 организаций в таких отраслях, как финансовые услуги, медико-биологические науки и государственный сектор. . Мы серьезно относимся к безопасности, предлагая защиту корпоративного уровня по всем направлениям.

    Независимо от того, хотите ли вы защитить данные для многонационального предприятия или малого бизнеса, у нас есть решения, которые помогут сохранить ваши данные в безопасности и максимально повысить их ценность — и все это при защите от троянских программ. Посмотрите, что может сделать Box, или свяжитесь с нами, чтобы узнать больше.

    Информация о компьютерном троянском вирусе

    Троянский конь – это разрушительная программа, маскирующаяся под безопасное приложение.

     

    В отличие от вирусов, троянские кони не размножаются, но могут быть столь же разрушительными. Один из самых коварных типов троянских коней — это программа, которая утверждает, что избавляет ваш компьютер от вирусов, но вместо этого внедряет вирусы в вашу систему.
     

    Термин происходит из греческого мифа о Троянской войне, в котором греки отдают гигантского деревянного коня своим врагам, троянцам, якобы в качестве мирной жертвы. Но после того, как троянцы затащили лошадь внутрь своих городских стен, греческие солдаты выскользнули из полого брюха лошади и открыли городские ворота, позволяя своим соотечественникам ворваться и захватить Трою.

    Троянские кони делятся на категории в зависимости от того, как они взламывают системы и наносят ущерб.

     

     

     

    Семь основных типов троянских коней:

    Трояны удаленного доступа
    Трояны удаленного доступа, сокращенно RAT, предназначены для предоставления злоумышленнику полного контроля над системой жертвы. Злоумышленники обычно прячут этих троянов в играх и других небольших программах, которые ничего не подозревающие пользователи затем запускают на своих ПК.

    Трояны, отправляющие данные
    Этот тип троянских коней предназначен для предоставления злоумышленнику конфиденциальных данных, таких как пароли, данные кредитной карты, файлы журналов, адреса электронной почты или списки контактов IM. Эти трояны могут искать определенные заранее определенные данные (например, только информацию о кредитной карте или пароли) или устанавливать кейлоггер и отправлять все записанные нажатия клавиш злоумышленнику

    .

    Деструктивные трояны
    Этот троян предназначен для уничтожения и удаления файлов и больше похож на вирус, чем на любой другой троян.Часто может остаться незамеченным антивирусным программным обеспечением.

    Трояны-прокси
    Этот вид троянцев предназначен для использования компьютера жертвы в качестве прокси-сервера. Это позволяет злоумышленнику делать с вашего компьютера все, что угодно, включая мошенничество с кредитными картами и другие незаконные действия, и даже использовать вашу систему для запуска злонамеренных атак на другие сети.

    FTP-трояны
    Этот троян открывает порт 21 (порт для FTP-передачи) и позволяет злоумышленнику подключиться к вашему компьютеру по протоколу передачи файлов (FTP).

    Трояны, отключающие программное обеспечение безопасности
    Этот неприятный троянский конь останавливает или уничтожает программное обеспечение компьютерной безопасности, такое как антивирусные программы или брандмауэры, без ведома пользователя. Обычно он сочетается с другим типом трояна в качестве «полезной нагрузки».
     

    Атака типа «отказ в обслуживании» (DoS) Трояны
    Трояны DoS — это тип атаки, который ставит сеть на колени, заливая ее бесполезным трафиком. Многие DoS-атаки, такие как Ping of Death и Teardrop, используют ограничения протоколов TCP/IP.Для всех известных DoS-атак существуют программные исправления, которые системные администраторы могут установить, чтобы ограничить ущерб, причиняемый атаками. Но, как и вирусы, хакеры постоянно придумывают новые DoS-атаки.

     

     

    Троянские тренды

     

    Ежеквартальные отчеты подтверждают большое количество инфекций, распространяющихся по компьютерам по всему миру. Фактом является то, что количество новых угроз значительно увеличивается, а число представлений увеличилось на 15% по сравнению с последним кварталом 2010 года.

     

    Трояны

    известны как наиболее распространенный тип заражения компьютерных систем, на который приходится около 70% всех обнаруженных вредоносных программ, за ними следуют традиционные вирусы и черви.

     

     

    Хотя количество новых троянских программ быстро растет, не все типы троянских программ следуют одной и той же тенденции. В то время как мошеннические антивирусы (программное обеспечение, выдающее себя за законный антивирус с целью вымогательства у пользователей платы за удаление ложных инфекций) постепенно сокращаются, трояны-загрузчики становятся все более популярными из-за их мелкого шрифта, оставленного на целевых машинах.Как только загрузчик заражает компьютерную систему, он начинает загружать дополнительные инфекции.

     

    Страновые отчеты показывают, что Китай по-прежнему занимает первое место с уровнем заражения примерно 65%, из которых более 75% приходится на троянские программы, за которым следуют Таиланд, Япония, Россия и Турция, как показано на графике ниже.

     

    Была ли эта статья полезной?

    Да нет

    Троянский конь — обзор

    Троянские кони

    Троянские кони (или просто «трояны») — это код, замаскированный под безвредные программы, которые затем ведут себя неожиданным, обычно вредоносным образом.Название происходит от того судьбоносного эпизода в романе «Илиада» , когда троянцы во время битвы под Троей впустили в городские ворота в подарок высокого деревянного коня. Среди ночи греческие воины, спрятавшиеся в чреве деревянного коня, выскользнули наружу, отперли ворота и позволили всему греческому войску войти и взять город.

    Ограничение троянцев заключается в том, что пользователя нужно убедить принять/запустить их, так же как троянцы должны были сначала принять греческий дар в виде деревянной лошади, чтобы они добились своего.Поэтому они обычно имеют неверную маркировку или маскируются под что-то другое, чтобы обмануть пользователя и заставить их запустить. Уловка может быть такой же простой, как поддельное имя (заставляющее вас думать, что это другая, законная программа), или сложной, как реализация полной программы, чтобы она выглядела безобидной. Одной из таких программ является троянская программа Pokemon, которая будет отображать анимированные изображения прыгающего Пикачу на вашем экране, рассылая себя по электронной почте всем в вашей адресной книге и готовясь удалить каждый файл в вашем каталоге Windows.На рис. 15.1 показано, что видит пользователь при запуске pokemon.exe, классифицированного как W32.Pokemon. Червь. Чего они не видят, так это того, что приложение отправляет себе электронное письмо и удаляет файлы из системы.

    Рисунок 15.1. W32.Покемон. Worm

    Итак, защита проста: не запускайте программы, которых вы не знаете. Этот простой совет передавался из поколения в поколение (в Интернете). Большинство людей склонны следовать ему, но, похоже, мы все из-за чего-то ломаемся. Давным-давно этот проклятый танцующий ребенок бродил по Интернету, и я готов поспорить, что значительная часть населения запускала это приложение, как только оно его получало.Представьте, если бы ребенок, пока он убегал, также удалял ваши файлы, рассылал копии своей электронной почты всем в вашей адресной книге или менял все ваши пароли. Может быть, вы бы не подумали, что ребенок очень милый в конце концов.

    Целые компании возникли вокруг идеи производства небольших исполняемых «электронных поздравительных открыток», предназначенных для отправки по электронной почте друзьям и коллегам. Эти типы программ еще больше ослабляют способность людей отличать безопасное от опасного.Если кто-то привык получать игрушки по электронной почте от своего друга «Боба», он не будет думать об этом, когда Боб (или троянец, притворяющийся Бобом, просматривая его адресную книгу) посылает ей что-то злое.

    Разница между вирусом, червем и троянским конем

    Знание различий может помочь вам лучше защитить свой компьютер

    Компьютерный вирус прикрепляется к программе или файлу, чтобы он мог распространяться с одного компьютера на другой, оставляя за собой инфекции по мере своего перемещения.Подобно человеческим вирусам, компьютерные вирусы могут различаться по серьезности: некоторые вирусы вызывают лишь слегка раздражающие эффекты, в то время как другие могут повредить ваше оборудование, программное обеспечение или файлы. Почти все вирусы прикреплены к исполняемому файлу, что означает, что вирус может существовать на вашем компьютере, но он не может заразить ваш компьютер, если вы не запустите или не откроете вредоносную программу. Важно отметить, что вирус не может распространяться без действий человека (например, запуска зараженной программы), чтобы поддерживать его работу. Люди продолжают распространение компьютерного вируса, в основном неосознанно, путем обмена заражающими файлами или отправки электронных писем с вирусами в виде вложений в сообщения электронной почты.

    Червь по своей структуре подобен вирусу и считается подклассом вируса. Черви распространяются от компьютера к компьютеру, но, в отличие от вируса, способны путешествовать без помощи человека. Червь использует функции передачи файлов или информации в вашей системе, что позволяет ему перемещаться без посторонней помощи. Самой большой опасностью червя является его способность воспроизводить себя в вашей системе, поэтому вместо того, чтобы ваш компьютер рассылал одного червя, он мог рассылать сотни или тысячи своих копий, создавая огромный разрушительный эффект.Одним из примеров может быть червь, который отправляет свою копию всем, кто указан в вашей адресной книге электронной почты. Затем червь реплицируется и рассылается всем, кто указан в адресной книге каждого получателя, а манифест продолжается дальше. Из-за копирующего характера червя и его способности перемещаться по сетям конечным результатом в большинстве случаев является то, что червь потребляет слишком много системной памяти (или пропускной способности сети), в результате чего веб-серверы, сетевые серверы и отдельные компьютеры перестают отвечать на запросы.В более поздних атаках червей, таких как широко обсуждаемый .Blaster Worm., червь был разработан для туннелирования в вашу систему и предоставления злоумышленникам возможности удаленного управления вашим компьютером.

    Троянский конь не является вирусом. Это деструктивная программа, которая выглядит как настоящее приложение. В отличие от вирусов, троянские кони не размножаются, но могут быть столь же разрушительными. Трояны также открывают лазейку на ваш компьютер, что дает злоумышленникам/программам доступ к вашей системе, позволяя украсть конфиденциальную и личную информацию.

    Что такое троян и как себя защитить?

    Троянец — это тип вредоносного ПО с возможностью удаленного доступа к любому устройству без ведома пользователя. Трояны могут иметь различных целей в зависимости от типа, начиная от замораживания вашего компьютера, изменения или удаления данных, заканчивая сбором и отправкой информации третьей стороне.

    Его название происходит от мифического троянского коня, отсюда и его способ действия, основанный на обмане и незаметности.Троянец , замаскированный под законную программу или программное обеспечение , устанавливается непреднамеренно и без ведома пользователя, создавая лазейку, позволяющую злоумышленнику получить доступ ко всей собранной им информации.

    Каковы эффекты троянского коня?

    Нелегко сказать, что компьютер находится под влиянием троянской программы. Вот некоторые подсказки, но они не всегда ясны:

    • Соединения не будут работать должным образом , так как вредоносное ПО активирует несколько «фальшивых» сеансов и, таким образом, крадет пропускную способность Интернета, блокируя доступ в Интернет или, по крайней мере, замедляя его.

    • Операционная система аварийно завершает работу или перезагружается без предупреждения.

    • Программы выполняются без участия пользователя , а если они уже запущены, то неожиданно закрываются.

    • Появляются всплывающие окна с необычными сообщениями.

    • Жесткий диск компьютера постоянно работает , даже когда он не используется, издавая выдающий звук. То же самое верно и для маршрутизатора, который может постоянно мигать.Если это произойдет, возможно, на маршрутизаторе выполняются вредоносные действия.

    • В вашем интернет-браузере открываются нежелательные вкладки , вкладки, которые вы открыли сами, закрываются или используются нежелательные поисковые системы.

    • Установленный антивирус не позволяет работать для борьбы со вредоносными атаками.

    Как защититься от троянского коня?

    Как только вы узнаете, что такое троянский конь, какие типы существуют и какой ущерб он может причинить, вы должны знать, какие шаги предпринять, чтобы защитить себя.Первый и самый простой шаг — установить и запустить антивирусное и антивредоносное программное обеспечение . Далее, операционная система, браузер и приложения должны быть всегда в актуальном состоянии на всех устройствах.

    Также рекомендуется не открывать вложения и документы в сообщениях электронной почты, если источник не полностью доверен. Это означает, что у вас есть сомнения относительно происхождения файла, лучше отклонить его. Точно так же фильтры безопасности для электронной почты и браузеров должны быть активированы , чтобы предупредить вас об обнаружении аномалии.