Новости бизнесаСтатьиНоу ХауАналитикаДеньгиБизнес технологииКурс валют
Главная > Новости бизнеса > Hi-Tech > Спамеры прячут опасный троян в «тибетские письма»

Спамеры прячут опасный троян в «тибетские письма»

Вторник, 5 июня 2012 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e

Корпорация Symantec сообщила об обнаружении атак на основе так называемых «тибетских писем» с использованием вирусов семейства Backdoor.Trojan. Как удалось выяснить компании, рассылка писем от имени связанных с Тибетом организаций ведётся с серверов, расположенных на территории России.

Используемые при атаке письма на английском языке адресованы американской компании по производству одежды. Заражение компьютера происходит при открытии инфицированного Word-документа, прикреплённого к письму. В ходе реализации атаки злоумышленники используют механизм, скрывающий от пользователей сам факт заражения компьютера, говорится в сообщении Symantec.

В частности, в качестве вектора проведения атаки используется программа известного производителя видеокарт,обладающая цифровой подписью. Для заражения достаточно открыть вложенный в сообщение инфицированный файл, обеспечивающий эксплуатацию уязвимости CVE-2012-0158, и в случае успеха на компьютер попадают три файла: NvSmart.exe, NvSmartMax.dll и boot.ldr, первый из которых обладает цифровой подписью. Приступая к анализу, специалисты Symantec предположили, что этот файл представляет собой вирус, подписанный украденной цифровой подписью. Однако в ходе дальнейшего анализа выяснилось, что этот файл подлинный.

В прошлом вредоносные программы обычно подменяли подлинный файл на фальшивый, который загружался при старте ОС. Но подмену файла достаточно легко обнаружить. В данном случае появляется новый легитимный файл известного производителя, и при установке его в систему в реестре для него создаётся соответствующая запись. В результате при старте компьютера запускается корректно установленная программа, обладающая цифровой подписью. И уже она запускает на исполнение подменённый файл NvSmartMax.dll, который, в свою очередь, запускает на исполнение файл boot.ldr, содержащий вредоносный код, пояснили в Symantec. При этом фальшивые файлы не регистрируются в качестве служб и не добавляются в реестр, поэтому большинство пользователей не замечают, что при запуске машины выполняется вредоносная программа.

Продукты Symantec определяют NvSmartMax.dll и boot.ldr в качестве вирусов семейства Backdoor.Trojan. Вредоносные программы такого рода обычно занимаются перехватом информации, отправкой её «хозяину» и даже предоставляют возможность удалённого управления компьютером.

По мнению специалистов Symantec, данный метод загрузки вредоносных программ не ограничивается одной лишь программой NvSmart.exe, и следует ожидать применения этой тактики в будущих атаках с использованием и других легитимных файлов.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 478
Рубрика: Hi-Tech
(CY)

Архив новостей / Экспорт новостей

Ещё новости по теме:

11: 20
В AnTuTu доминируют смартфоны с SoC Snapdragon 835 |
11: 20
Опубликованы фотографии беспроводных ЗУ для новых смартфонов iPhone |
11: 20
CompuTach: первый тахометр для... компьютера |
11: 20
Дизайнер Xiaomi Mi Mix 2 показал, как будет выглядеть новый безрамочный смартфон |
11: 00
Представители HMD намекнули на создание Nokia 9 |
11: 00
ASUS пообеoала обновить до Android O все ZenFone 3 и ZenFone 4 |
10: 20
Самый волосатый автомобиль и другие странные авторекорды Гиннесса |
10: 20
«Ведомости»: в международный комитет по разработке стандарта блокчейна вошёл сотрудник ФСБ |
10: 00
В Китае запустили первый онлайн-суд |
10: 00
Почему я считаю iPhone 3G самым удачным айфоном |
09: 40
Модули памяти Galax DDR4-4133 HOF Extreme Limited Edition с хромированными радиаторами выпущены очень небольшой партией |
09: 20
Microsoft представила инновационный Coco Framework для повышения эффективности блокчейна на предприятиях |
09: 20
В Apple изобрели акустическую систему в виде массива излучателей, учитывающую местонахождение слушателя |
09: 20
УАЗ разрабатывает броневик для спецназа |
09: 20
Galax сделала доступными для предзаказа наборы ОЗУ HOF Extreme Limited Edition DDR4 |
09: 00
Доход Alibaba Group в прошлом квартале превысил 7,4 млрд долларов |
08: 40
Водоблок Alphacool Eisblock Flatboy предназначен для процессоров AMD Ryzen Threadripper |
08: 40
TrapFi — платформа для фрилансеров, которая гарантирует им получение заказов |
08: 40
Сколько стоит продвижение сайта в Краснодаре? |
08: 40
Проблема получения справки о несудимости в СНГ |
08: 40
Samsung добавила своим умным телевизорам поддержку ПО Shazam |
08: 40
Apple выпустила 6 роликов, демонстрирующих функции iOS 11 для iPad |
08: 20
Фотогалерея дня: смартфон Samsung Galaxy Note8 предстал на «живых» снимках |
07: 40
Курьерская служба Dostavista привлекла $2,25 млн от фондов Buran VC и AddVenture |
07: 20
Asus обновит до Android O все смартфоны семейств ZenFone 4 и ZenFone 3 |
07: 00
На установку домашних солнечных батарей в Бурятии выделят миллионы рублей |
07: 00
Возможность входа в клуб Адмирал без ожидания |
07: 00
Большой список новых и старых слотов |
07: 00
Отличный способ научиться зарабатывать в сети |
07: 00
Коллекция игровых слотов для знатоков виртуального гемблинга |
18: 20
AMD выпустила драйвер, оптимизированный для добычи криптовалют |
Новости бизнесаСтатьиНоу ХауАналитикаДеньгиБизнес технологииКурс валют
Rating@Mail.ru
Условия размещения рекламы

Наша редакция

Обратная связь

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Skype: rosinvest.com (Русский, English, Zhōng wén).

Архивы новостей за: 2017, 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003