anatol1961
11.06.2013, 21:30
Исследователи отмечают, что распространение троянской программы, которую не может определить практически ни один антивирус, носит характер эпидемии.
http://s2.1pic.org/files/2013/06/11/90a6006406ab8d577085.jpg (http://1pic.org)
Как сообщает издание «РИА Новости», российские эксперты в области ИБ предостерегают о распространении троянской программы RpcTonzil среди пользователей соцсети «ВКонтакте».
По данным экспертов из компании Cezurity, в настоящий момент распространение вируса носит характер эпидемии, и его жертвами стало уже более 50 тыс. пользователей ресурса.
Злоумышленники, «запустившие» троян, получили не только доступ к учетным записям жертв, но и возможность похищения конфиденциальных персональных данных.
Исследователи отмечают, что вирус модифицирует запросы компьютеров к DNS-серверу, то есть при попытке зайти в социальную сеть пользователь оказывается на специально созданной злоумышленниками фальшивой web-странице, которая имитирует и практически неотличима от страницы «ВКонтакте». На странице пользователю сообщается о том, что аккаунт был взломан и предлагается создать новый пароль и верифицировать привязку своего номера мобильного телефона к учетной записи.
Web-страница практически не отличается от настоящей страницы авторизации в соцсети. Более того, адрес, который отображается в адресной строке браузера, полностью соответствует правильному и возникает ощущение, что страница действительно принадлежит «ВКонтакте».
Эксперты отмечают, что первые образцы вредоносного кода RpcTonzil были обнаружены еще в марте этого года. На сегодняшний день большинство антивируссных программ не определяют угрозу. Исследователи объясняют этот факт тем, что злоумышленники модифицировали вирус, а также использовали сложную технику скрытия кода от антивирусов.
По словам Кирилла Преснякова, ведущего вирусного аналитика Cezurity, после заражения компьютера троянская программа существует только в зашифрованном виде. Ее расшифровка и автозапуск осуществляется с помощью небольшой модификации системной библиотеки rpcss.dll. Большинство антивирусов не способно детектировать заражение, произведенное таким образом, то есть, не зная вируса «в лицо» — они могут обнаружить этот троян только по поведению.
«Эта троянская программа любопытна не как образец техники заражения, а скорее тем, что программа известна уже три месяца, продолжает распространяться, однако, большинством антивирусных продуктов либо вообще не обнаруживается, либо они не способны корректно вылечить компьютер после заражения», — цитируют РИА Новости Алексея Чалея, генерального директора Cezurity.
Источник: http://www.securitylab.ru/news/441434.php
http://s2.1pic.org/files/2013/06/11/90a6006406ab8d577085.jpg (http://1pic.org)
Как сообщает издание «РИА Новости», российские эксперты в области ИБ предостерегают о распространении троянской программы RpcTonzil среди пользователей соцсети «ВКонтакте».
По данным экспертов из компании Cezurity, в настоящий момент распространение вируса носит характер эпидемии, и его жертвами стало уже более 50 тыс. пользователей ресурса.
Злоумышленники, «запустившие» троян, получили не только доступ к учетным записям жертв, но и возможность похищения конфиденциальных персональных данных.
Исследователи отмечают, что вирус модифицирует запросы компьютеров к DNS-серверу, то есть при попытке зайти в социальную сеть пользователь оказывается на специально созданной злоумышленниками фальшивой web-странице, которая имитирует и практически неотличима от страницы «ВКонтакте». На странице пользователю сообщается о том, что аккаунт был взломан и предлагается создать новый пароль и верифицировать привязку своего номера мобильного телефона к учетной записи.
Web-страница практически не отличается от настоящей страницы авторизации в соцсети. Более того, адрес, который отображается в адресной строке браузера, полностью соответствует правильному и возникает ощущение, что страница действительно принадлежит «ВКонтакте».
Эксперты отмечают, что первые образцы вредоносного кода RpcTonzil были обнаружены еще в марте этого года. На сегодняшний день большинство антивируссных программ не определяют угрозу. Исследователи объясняют этот факт тем, что злоумышленники модифицировали вирус, а также использовали сложную технику скрытия кода от антивирусов.
По словам Кирилла Преснякова, ведущего вирусного аналитика Cezurity, после заражения компьютера троянская программа существует только в зашифрованном виде. Ее расшифровка и автозапуск осуществляется с помощью небольшой модификации системной библиотеки rpcss.dll. Большинство антивирусов не способно детектировать заражение, произведенное таким образом, то есть, не зная вируса «в лицо» — они могут обнаружить этот троян только по поведению.
«Эта троянская программа любопытна не как образец техники заражения, а скорее тем, что программа известна уже три месяца, продолжает распространяться, однако, большинством антивирусных продуктов либо вообще не обнаруживается, либо они не способны корректно вылечить компьютер после заражения», — цитируют РИА Новости Алексея Чалея, генерального директора Cezurity.
Источник: http://www.securitylab.ru/news/441434.php