На информационном ресурсе применяются рекомендательные технологии (информационные технологии предоставления информации на основе сбора, систематизации и анализа сведений, относящихся к предпочтениям пользователей сети "Интернет", находящихся на территории Российской Федерации)

В клиентской рассылке GE Money Bank обнаружены трояны (обновлено)

Один из постоянных читателей «Руформатора» вчера поделился с нами весьма интересной новостью.

«Я являюсь клиентом ЗАО «Джи И Мани Банк» вот уже почти два года. Впервые за все это время я получил от них счет-выписку по своей кредитной карте по электронной почте в виде PDF-файла. Меня это сразу насторожило: почему почти два года банк ничего не присылал, а тут взял и прислал?

Но я не придал этому большого значения и попытался открыть этот файл.

С первого раза ничего не получилось. Со второго Adobe Reader (последняя версия) вылетел. В третий раз я открыл сначала сам Adobe Reader, а затем загрузил в него этот файл. Посмотрел выписку, закрыл и пошел спать.

Компьютер на ночь я не выключаю, только монитор. И первое, что я увидел вчера утром, включив экран – сразу несколько предупреждений. Во-первых, моя комплексная система защиты ESET NOD32 Smart Security известила меня, что в ходе проверки были найдены и изолированы два известных ей вируса.

2/17/2010 1:02:46 PM Модуль сканирования файлов, исполняемых при запуске системы файл C:\WINDOWS\system32\hwks.oyo модифицированный Win32/Oficla.DH троянская программа очищен удалением (после следующего перезапуска) - изолирован

2/17/2010 8:37:16 AM Фильтр HTTP файл http://www.x554b9c1b.co.cc/x Win32/AutoRun.AEH червь соединение прервано - изолирован MSS\Администратор Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\WINDOWS\explorer.exe.

Во-вторых, она же сообщила мне, что некий файл 2287.tmp запрашивает доступ в Интернет. Вообще, надо сказать, что я слегка сдвинут на безопасности, поэтому у меня установлены всевозможные программы, ее обеспечивающие. Для пущей безопасности я установил не автоматический, а интерактивный режим работы Nod, т.е. он спрашивает у меня подтверждения при попытке любой новой программы сделать что-то подозрительное, например, выйти в Интернет.

Более того, одновременно я увидел запрос программы 2IP StartGuard (очень полезная и простая программка, которая дает вам возможность следить за тем, какие программы пытаются прописаться в автозагрузке, и в режиме реального времени позволяет это запретить или разрешить) о том, что некий файл 2287.tmp пытается прописаться в автозагрузке. Разумеется, я запретил этому странному файлу как прописываться, так и соединяться с интернетом, открыл Диспетчер Задач, увидел этот файл в оперативной памяти и быстро его выгрузил.

Дальше начинается самое интересное – я просканировал его «Нодом» и онлайн-сканерами «Касперского» и «Доктора Веба». И вот только последний сообщил мне о том, что это известный ему троян, но, видимо, он настолько новый, что у двух других крупнейших производителей он еще не успел появиться в базе данных. Правда, когда я отправил на анализ этот файл в компанию ESET, меня буквально через несколько часов поблагодарили и сказали, что информация о нем будет включена в ближайшую базу обновлений, то есть сегодня.

В том, что файл пришел напрямую из этого банка у меня нет никаких сомнений: там были указаны мои персональные данные – адрес, номер счета и т.д. То, что вирусы были именно там – также бесспорно, потому как само ничего ночью запуститься не могло и больше никаких новых файлов я не открывал и не загружал».

Таким образом, по информации читателя, из GE Money Bank Russia рассылаются зараженные PDF-файлы, которые, используя уязвимость в Adobe Reader, устанавливают на компьютер пользователя три трояна, причем последний – свежий. Официальных комментариев банка на момент публикации статьи получить не удалось.

Обновлено 19.02.2010 в 17:35 мск:

Пресс-служба «ДжиИ Мани Банка» предоставила «Руформатору» официальный комментарий:

«Мы проанализировали ситуацию, которая произошла с читателем портала «Руформатор», и пришли к выводу, что описанное вирусное заражение не соответствует механизму работы PDF-вирусов. Вирусы, внедряемые в PDF файлы, используют уязвимости в библиотеках программ Adobe Flash и Adobe Acrobat. То есть, если бы в выписке Банка действительно был внедрен вирус, то антивирусные средства должны были обнаружить его активность в dll файлах, уязвимых для данного рода атак (например, в rt3d.dll). Исходя из этого, вирус, заразивший компьютер читателя портала «Руформатор», не мог попасть туда из счета-выписки, разосланной Банком.

Кроме того, проблемы загрузки самой программы Adobe Acrobat Reader могут свидетельствовать о том, что серьезные сбои в функционировании операционной системы, приложений и механизмов обмена данными существовали в компьютере до момента загрузки выписки Банка».

Картина дня

наверх