Trajanskaja sietka kantralavałasia z dapamohaj niekalkich skryń elektronnaj pošty. Udałosia atrymać dostup da niekatorych: boss.bigben@mail.ru i 123asqedws@mail.ru.

Trajanskaja sietka kantralavałasia z dapamohaj niekalkich skryń elektronnaj pošty. Udałosia atrymać dostup da niekatorych: [email protected] i [email protected].

Udałosia ŭstalavać i biełaruski IP-adras, jaki naležyć uładalnikam virusaŭ i dvuch e-mail-aŭ.

Udałosia ŭstalavać i biełaruski IP-adras, jaki naležyć uładalnikam virusaŭ i dvuch e-mail-aŭ.

Dla ručnoha vydaleńnia trajana treba adklučyć aŭtazapusk.

Dla ručnoha vydaleńnia trajana treba adklučyć aŭtazapusk.

Vyznačyć najaŭnaść prahramy možna pa charakternych śladach.

Vyznačyć najaŭnaść prahramy možna pa charakternych śladach.

Administratary sajtaŭ vyjavili, što pad sakretnym kantrolem biełaruskich śpiecsłužbaŭ doŭhi čas znachodzilisia kampjutary, a taksama asabistaja pierapiska praz Skype, elektronnuju poštu i sacyjalnyja sietki nie tolki niekatorych supracoŭnikaŭ redakcyi Chartyi (kampjutar kantent-administratara, jaki maje dostup tolki da administracyjnaj paneli sajta), ale i šerahu inšych viadomych žurnalistaŭ, palitykaŭ, hramadskich dziejačaŭ.

Trajanskaja sietka, śćviardžaje electroname.com, kantralavałasia z dapamohaj niekalkich skryń elektronnaj pošty. Udałosia atrymać dostup da niekatorych: [email protected] i [email protected].

Analiz dasłanych virusami łohaŭ aktyŭnaści zaražanych kamputaraŭ dazvalaje śćviardžać, što śpiecsłužby prasłuchoŭvali redakcyju «Chartyi», Irynu Chalip, Marynu Koktyš, Siarhieja Vaźniaka, Paŭła Maryniča, Alenu Novikavu, Viktara Radźkova i mnohich inšych ludziej. Rabilisia sproby zaražeńnia kampjutaraŭ Biełaruskaj asacyjacyi žurnalistaŭ, advakata Alesia Bialackaha Źmitra Łajeŭskaha, kaardynatara «maŭklivych» akcyj pratestu Viačasłava Dzijanava. Ci byli tyja sproby paśpiachovymi — nieviadoma.

Sietka pracavała jak minimum ź lipienia 2011 hoda.
Mienavita tady ŭpieršyniu było zadakumientavana zaražeńnie adnaho z kampjutaraŭ. Byli vykradzienyja paroli ad Skype (heta dazvalaje ŭklučyć Skype na inšym kampjutary i paralelna čytać ŭsiu pierapisku karystalnika), sacyjalnych sietak, e-mail i navat paroli dostupu da internet-pravajdara, zapisvalisia malunak desktopa ź dziejańniami karystalnika, kapijavańnie ŭ keš, nabor tekstu ŭ tekstavych redaktarach, mesendžarach.
Złamyśniki vykarystali try vidy virusaŭ: užo viadomy «virus KDB», ci RMS ad TeknotIT, UFR Stealer — virus, jaki zaražaje kampjutar praz fłešku, i Keylogger Detective.
Heta tak zvanyja «trajany dla školnikaŭ». Ich možna volna kupić u Runecie za 20–30 dalaraŭ.

Udałosia vyznačyć i biełaruski IP-adras, jaki naležyć uładalnikam virusaŭ i dvuch e-mail-aŭ. Adras zachavaŭsia ŭ adpraŭlenych i testavych listach u abiedźviuch paštovych skryniach. Hety samy adras jość u łohach napadu na charter97.org i electroname.com — 178.124.157.86. IP-adras zafiksavany ŭ łohach e-mail i siervieraŭ pad roznymi datami, h.zn. adras statyčny i vykarystoŭvajecca ŭvieś čas.

Inšymi słovami, zaražeńnie kampjutaraŭ, prasłuchoŭvańnie i ataka na sajty vykanana adnoj i toj ža hrupaj.

Varta nahadać, što aktyvista Maŭklivych Apładysmientaŭ Maksima Čarniaŭskaha KDB sprabavała zavierbavać, kab jon ustalavaŭ na kampjutar Viačasłava Dyjanava mienavita «virus» RMS ad TeknotIT.

Prapanujem instrukcyju dla pošuku i vydaleńnia virusaŭ:
I. KeyloggerDetective

Trajanskaja prahrama, viadomaja jak Keylogger Detective, detektujecca jak «modified Win32/PSW.Sycomp. G» (NOD32), «Trojan. MulDrop3.2380» (DrWeb), «Trojan-Spy. Win32.Agent.btzs» (Kaspersky), «TrojanSpy: Win32/Keylogger. BK» (Microsoft), «SHeur3.CKGS» (AVG), «Trojan. ADH» (Symantec), «TrojanSpy. Agent.btzs» (VBA32).

Fajł maje pamier 87,312 bajt. MD5: e740bf2a9539bf4fc4df88cf4e799bf2

Pry zapusku stvaraje dyrektoryju «C: \ Documents and Settings \ \ Application Data \ sysdata», kudy kapijuje siabie, i zachoŭvaje ŭ joj fajły ź infarmacyjaj ab nacisnutych kłavišach, aktyŭnych voknach, klikach myški i źmieścivie bufieru abmienu. Fajły ź pieraciahnutaj infarmacyjaj majuć vyhlad sys.dat, 0sys.dat, 1sys.dat. Sabranuju infarmacyju adpraŭlaje na pakazanuju ŭ prahramie paštovuju skryniu pa miery jaje nazapašvańnia.

Dla aŭtazapusku, pry zahruzcy sistemy, vykarystoŭvaje kluč rejestra

HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ yrrrrt2.

Dla ručnoha vydaleńnia nieabchodna:

1. prymusova zaviaršyć praces svssvc.exe (hł. malunak);

2. vydalić dyrektoryju

«C: \ Documents and Settings \ \ Application Data \ sysdata»;

3. vydalić kluč rejestra

HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ yrrrrt2

albo adklučyć aŭtazapusk z dapamohaj standartnaj ŭtylity msconfig.exe (sm profil Aŭtazapusk, elemient svssvc).

Paśla vydaleńnia prahramy rekamiendujecca źmianić paroli ad usich resursaŭ, dostup da jakich ažyćciaŭlaŭsia z zaražanaj sistemy.

II. UFR Stealer

Trajanskaja prahrama, viadomaja jak UFR Stealer, detektujecca jak «Trojan. PWS.UFR.11» (DrWeb), «Generic23.FQT» (AVG), «Trojan-PSW.Win32.Ruftar.bsa» (Kaspersky), «Trojan: Win32/Anomaly «(Microsoft)," a variant of Win32/Spy. Usteal. A «(NOD32)," Trojan. Khil.23905 «(VBA32)

Fajł maje pamier 52,736 bajt. MD5: 71f950f31c15023c549ef4b33c2bf1e0

Pry zapusku źbiraje łahiny / paroli prykładak, jakija vykarystoŭvajucca ŭ sistemie. Padtrymlivaje kradziež parolaŭ ad takich prahram, jak Opera, Firefox, Chrome, Internet Explorer, QIP, MSN Messenger, ICQ, Mail.ru Agent, Pidgin, Google Talk, Miranda, The Bat!, FileZilla, Total Commander i inš Taksama źbiraje ahulnuju infarmacyju ab sistemie. Zachoŭvaje sabranuju infarmacyju ŭ tečku ufr_files, u dyrektoryi, dzie była zapuščana prahrama i sprabuje pieradać sabranyja dadzienyja na pakazanuju ŭ ciele prahramy paštovuju skryniu. Paśla hetaha samavydalajecca.

U sistemie nie zamacoŭvajecca, tamu ručnoje vydaleńnie ź sistemy nie patrabujecca. Pry vyjaŭleńni takoha fajła vydalicie ​​iaho samastojna, nie zapuskajučy.

Vyznačyć, ci była zapuščana ŭ vas dadzienaja prahrama, možna pa charakternych śladach, jakija zastajucca ŭ sistemie:

* Najaŭnaść tečki ufr_files na vašym dysku z fajłami *. dat, *. bin, *. txt, *. ds;

* Najaŭnaść prefetch-fajła pa šlachu:

C: \ Windows \ Prefetch \ ABGREYD.EXE-*. pf.

Paśla vydaleńnia prahramy rekamiendujecca źmianić paroli ad usich resursaŭ, dostup da jakich ažyćciaŭlaŭsia z zaražanaj sistemy.

III. RMS Trojan

Trajanskaja prahrama, pabudavanaja na asnovie lehalnaj prahramy dla vydalenaha administravańnia, viadomaj jak Remote Manipulator System (http://www.tektonit.ru). Kampanienty, jakija źjaŭlajucca lehalnym PA, nie detektujucca antyvirusnymi prahramami jak škodnickija fajły, adnak instalatar vyznačajecca jak «Worm. Autorun-8201» (ClamAV), «Trojan. Generic.6178206» (GData), «Backdoor. BAT.Agent.l» (Kaspersky), «Backdoor. BAT.Agent.l» (VBA32).

Fajł maje pamier 2,782,938 bajt. MD5: 3299b4e65c7c1152140be319827d6e04

Pry zapusku stvaraje schavanuju dyrektoryju C: \ Windows \ system32 \ catroot3, kudy kapijuje roznyja kampanienty prahramy vydalenaha kiravańnia, nastrojvaje sistemny fajervoł, stvaraje schavany fajł C: \ Windows \ system32 \ de.exe. Paśla hetaha zapuskaje prahramu vydalenaha kiravańnia i samavydalajecca z dyrektoryi zapusku.

Najaŭnaść u sistemie možna vyznačyć:

* Pa pracujučych pracesach rutserv.exe abo rfusclient.exe;

* Pa najaŭnaści utojenych dyrektoryj C: \ Windows \ system32 \ catroot3 i fajła C: \ Windows \ system32 \ de.exe;

* Pa najaŭnaści servisu ź imiem «TektonIT — R-Server».

Kiravańnie ažyćciaŭlajecca pa ŭłasnym pratakole (na asnovie TCP), vykarystoŭvajučy sierviery kampanii Tekton-IT, jakija pradastaŭlajucca na biaspłatnaj asnovie.

Dla chutkaha ručnoha vydaleńnia možna skarystacca deinstalataram, jaki, mabyć, pa pamyłcy, kapijujecca ŭ sistemu razam z astatnimi kampanientami škadlivaha servisu. Zapusk C: \ windows \ system32 \ de.exe vydalić zapisy z rejestra, spynić pracujučy servis i vydalić usie kampanienty prykładki, u tym liku i sam fajł de.exe.

Клас
0
Панылы сорам
0
Ха-ха
0
Ого
0
Сумна
0
Абуральна
0

Chočaš padzialicca važnaj infarmacyjaj ananimna i kanfidencyjna?