Интернет магазин китайских планшетных компьютеров |
|
Компьютеры - Backdoor.Win32.Sinowal - Деструктивная активность15 мая 2011Оглавление: 1. Backdoor.Win32.Sinowal 2. Деструктивная активность 3. Обнаружение и лечение Бэкдор скачивает с сайтов злоумышленника модуль-дополнение, содержащий шпионский функционал, и внедряет его в запущенные в системе процессы пользователя. Шпионский модуль перехватывает следующие системные функции поддержки шифрования:
и похищает все используемые в системе ключи шифрования, а также шифруемые и дешифруемые данные. Собранную информацию руткит отправляет на сайт злоумышленника. Бэкдор использует технологию постоянной миграции серверов злоумышленника, для этого используется специальный алгоритм генерации доменного имени в зависимости от текущей даты. Метод распространенияНа теперешний момент в основном распространение ведется через три типа ресурсов:
Во всем этом прослеживается русская нотка, по мнению аналитиков KasperskyLab. Дело в том, что большинство сайтов распространителей связаны между собой ссылками. Этот метод взаимодействия очень популярен в российском и украинском андерграунде. При этом на ресурсах используется скрипт, который начинает первый этап инфицирования жертвы. Переадресация производится на IP, который отныне домен, на который переадресовывается жертва, генерируется скриптом. Генерация происходит, отталкиваясь от даты, которая установлена на компьютере-жертве. Еще одной хитрой технологией, относящейся к распространению, можно назвать cookies, которые вирус оставляет на жертве. Длительность жизни этих cookies составляет 7 дней. Делается это для того, чтобы идентифицировать жертву при повторном попадании в лапы к скрипту. Cookies проверяются, и если скрипт выявляет, что жертва уже побывала на приеме у административной панели, то переадресации не происходит. Просмотров: 2728
|