Обнаружен новый троян Kenzero, крадущий историю посещений веб-страниц из браузера и другую личную информацию и публикующий похищенные данные на специальном сайте для всеобщего обозрения, сообщает Neowin.
Троян впервые проявил себя в Японии на компьютерах любителей хентай-игр. После похищения персональной информации и опубликования ее на своем сайте Kenzero требует за удаление информации выкуп в размере 1500 иен (около $16).
Как сообщается, домен, на сайте которого троян выкладывает похищенную информацию, зарегистрирован на, судя по всему, вымышленного человека по имени Шоэн Овернс (Shoen Overns).
По словам представителей антивирусной компании Trend Micro, это имя уже фигурировало при распространении таких известных троянов как Zeus и Koobface.
Троян ZeuS крадет пароли пользователей WebMoney и Яндекс.Денег
«Лаборатория Касперского» публикует аналитическую статью Дмитрия Тараканова «За кем охотится Zeus?».
Троян ZeuS создан для кражи данных, необходимых пользователю для авторизации в платежных системах. Благодаря простоте конфигурации, этот зловред в одних только Соединенных Штатах заразил 3,6 миллиона компьютеров. Общемировая же статистика фактически не поддается исчислению. И это не удивительно.
Логин, пароль или сертификат соответствия легко становятся доступны троянцу: при посещении пользователем веб-страниц онлайн-банкинга или платежных систем ZeuS отслеживает ввод информации с клавиатуры, после чего отправляет ее злоумышленнику.
Однако наиболее интересный способ кражи персональных данных, реализованный в Zeus, выглядит иначе — при открытии сайта, адрес которого присутствует в файлах конфигурации ZeuS, троянец меняет код страницы до того, как она появляется в браузере. Как правило, зловред добавляет новые поля для ввода секретных данных (таких как, PIN-код), которые после ввода пользователем пересылаются злоумышленнику.
Эксперты «Лаборатории Касперского» проанализировали, на какие именно сайты нацелен ZeuS. В странах Запада под прицел злоумышленников попадают в основном клиенты банков. В России, где очень популярна такая услуга, как интернет-кошелек, опасность в первую очередь грозит пользователям платежных сервисов – QIWI, Яндекс.Деньги и WebMoney.
Чем популярнее платежная система, тем больше она интересует злоумышленников. В России установлено свыше 100 тысяч точек приема платежей QIWI. В 2008 году оборот сумм, проходящих через эту систему, составил 7,2 млрд долларов США. Соответственно, адрес QIWI встречается в большинстве файлов конфигурации ZeuS.
Еще два очень популярных в России сервиса, упомянутых выше, – это Яндекс.Деньги и WebMoney. У этих сервисов нет своих терминалов, как у QIWI и W1, зато их платежи принимает гораздо больше сайтов.
За двое суток количество командных серверов червя Koobface выросло в два раза
«Лаборатория Касперского» предупреждает о всплеске активности червя Koobface, активно заражающего сайты социальных сетей.
Вредоносная программа атакует такие популярные порталы как Facebook и Twitter, и использует взломанные сайты в качестве собственных командных серверов.
По наблюдениям группы исследователей «Лаборатории Касперского», в течение трех последних недель командные серверы Koobface отключались или подвергались лечению в среднем три раза в сутки. Командные серверы используются для посылки удаленных команд и обновлений на все компьютеры, зараженные данным червем.
Сначала количество работающих командных серверов червя постоянно снижалось: 25 февраля их было 107, а 8 марта уже 71. Однако затем в течение всего двух суток их число выросло вдвое, до 142. По состоянию на 18 марта количество серверов составило 79, поэтому, считают эксперты, в ближайшее время стоит ожидать очередного роста.
Проследить количество командных серверов Koobface можно, оценив географическое распределение IP-адресов, через которые происходит обмен информацией с зараженными компьютерами. В первую очередь количество серверов увеличилось в США — их доля выросла с 48% до 52%.
«Последние события дают нам возможность судить о том, каким образом преступная группировка, стоящая за Koobface, управляет инфраструктурой червя. Можно сделать вывод, что киберпреступники внимательно следят за состоянием инфраструктуры червя — они заинтересованы в том, чтобы количество командных серверов не падало ниже определенной величины, иначе они могут потерять контроль над ботнетом, — говорит Стефан Танасе, антивирусный эксперт Центра глобальных исследований и анализа угроз в регионе ЕЕМЕА «Лаборатории Касперского». — В случае падения числа серверов до критического уровня злоумышленники демонстрирует готовность ввести в строй десяток новых. На протяжении нескольких недель, количество серверов колеблется в районе ста; судя по всему, сотня действующих серверов — этот тот уровень, который киберпреступники считают оптимальным. Кроме того, они предпочитают видеть сеть серверов распределенной между провайдерами по всему миру — такой подход обеспечивает стабильность сети».
Советы «Лаборатории Касперского» пользователям:
- Будьте осторожны при открытии ссылок в сообщениях подозрительного содержания, даже если вы получили их от пользователя, которому доверяете.
- Используйте современный браузер последней версии: Firefox 3.x, Internet Explorer 8, Google Chrome, Opera 10.
- По возможности не раскрывайте в сети личную информацию: домашний адрес, телефонный номер и т. д.
- Регулярно обновляйте антивирусное ПО на вашем компьютере, чтобы обезопасить себя от новейших версий вредоносных программ.
Написано сайтом http://hacker.bbeasy.ru
