Новости бизнесаСтатьиНоу ХауАналитикаДеньгиБизнес технологииКурс валют
Главная > Новости бизнеса > Hi-Tech > Спамеры прячут опасный троян в «тибетские письма»

Спамеры прячут опасный троян в «тибетские письма»

Вторник, 5 июня 2012 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e

Корпорация Symantec сообщила об обнаружении атак на основе так называемых «тибетских писем» с использованием вирусов семейства Backdoor.Trojan. Как удалось выяснить компании, рассылка писем от имени связанных с Тибетом организаций ведётся с серверов, расположенных на территории России.

Используемые при атаке письма на английском языке адресованы американской компании по производству одежды. Заражение компьютера происходит при открытии инфицированного Word-документа, прикреплённого к письму. В ходе реализации атаки злоумышленники используют механизм, скрывающий от пользователей сам факт заражения компьютера, говорится в сообщении Symantec.

В частности, в качестве вектора проведения атаки используется программа известного производителя видеокарт,обладающая цифровой подписью. Для заражения достаточно открыть вложенный в сообщение инфицированный файл, обеспечивающий эксплуатацию уязвимости CVE-2012-0158, и в случае успеха на компьютер попадают три файла: NvSmart.exe, NvSmartMax.dll и boot.ldr, первый из которых обладает цифровой подписью. Приступая к анализу, специалисты Symantec предположили, что этот файл представляет собой вирус, подписанный украденной цифровой подписью. Однако в ходе дальнейшего анализа выяснилось, что этот файл подлинный.

В прошлом вредоносные программы обычно подменяли подлинный файл на фальшивый, который загружался при старте ОС. Но подмену файла достаточно легко обнаружить. В данном случае появляется новый легитимный файл известного производителя, и при установке его в систему в реестре для него создаётся соответствующая запись. В результате при старте компьютера запускается корректно установленная программа, обладающая цифровой подписью. И уже она запускает на исполнение подменённый файл NvSmartMax.dll, который, в свою очередь, запускает на исполнение файл boot.ldr, содержащий вредоносный код, пояснили в Symantec. При этом фальшивые файлы не регистрируются в качестве служб и не добавляются в реестр, поэтому большинство пользователей не замечают, что при запуске машины выполняется вредоносная программа.

Продукты Symantec определяют NvSmartMax.dll и boot.ldr в качестве вирусов семейства Backdoor.Trojan. Вредоносные программы такого рода обычно занимаются перехватом информации, отправкой её «хозяину» и даже предоставляют возможность удалённого управления компьютером.

По мнению специалистов Symantec, данный метод загрузки вредоносных программ не ограничивается одной лишь программой NvSmart.exe, и следует ожидать применения этой тактики в будущих атаках с использованием и других легитимных файлов.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 502
Рубрика: Hi-Tech
(CY)

Архив новостей / Экспорт новостей

Ещё новости по теме:

13: 20
Покупатели флагманских смартфонов Samsung получают беспроводные наушники Gear IconX |
13: 20
При температуре ниже 20 °С скорость зарядки смартфонов Google Pixel 2 XL резко падает |
13: 00
Belkin возобновила продажи защитного стекла InvisiGlass Ultra для iPhone X, повысив его прочность |
13: 00
Бельгийский суд запретил Facebook собирать данные пользователей |
12: 00
Как найти работу в Берлине, если ты филолог |
11: 40
Samsung запатентовала шарнирную конструкцию для смартфона со сгибающимся дисплеем |
11: 40
Новые данные указывают на то, что в конце марта новых игровых видеокарт Nvidia представлено не будет |
11: 40
Самые длинные ЖД-маршруты в мире: от Китая до Лондона за 18 дней |
11: 40
Пройти шесть собеседований в Amazon и отказаться от работы |
11: 20
Кто создал Биткоин? Самые лютые теории заговора |
10: 40
Японцы показали разгон до 100 км/ч за 1,92 секунды |
09: 40
Мы нашли лучший подарок для 30-летнего ребенка на 23 февраля |
09: 40
Евросеть вернет до 70% стоимости смартфона по trade-in |
09: 20
Archos Vision 215 — моноблок с 22-дюймовым «безрамочным» экраном и ценой в 300 евро |
08: 20
Samsung может выпустить смартфон семейства Galaxy J с ранее не использовавшимся порядковым номером |
07: 20
Из-за слабых продаж смартфонов iPhone X компания Samsung столкнулась с перепроизводством экранов OLED |
07: 00
Флагман Huawei P20 Plus получит батарею на 4000 мАч |
07: 00
ОС Ubuntu будет следить за пользователями |
07: 00
Apple исправит ошибку блокировки доступа к мессенджерам в iOS |
18: 40
Соцсеть ВКонтакте восстановила работу |
18: 00
Водоблок EK-FB GA X399 Gaming RGB Monoblock предназначен для системных плат Gigabyte X399 Aorus Gaming 7 и X399 Designare EX |
18: 00
Магазин Google Play Store заработает в России в 2018 году |
17: 20
Ubuntu планирует следить за пользователями, пока те не возразят |
17: 00
ВКонтакте перестал работать |
17: 00
Apple увеличит экран в iPhone XI |
16: 40
Таймлайн: Buglance |
18: 20
Самая высокая волна в открытом океане |
18: 00
Как предсказать мощные вспышки на Солнце? |
17: 40
PocketSprite: миниатюрная консоль для ретро-игр |
17: 40
Слабеющий Bitcoin вынудил россиян продавать оборудование для майнинга |
17: 40
Распродажа в GearBest: скидки на Android-смартфоны и планшеты |
Новости бизнесаСтатьиНоу ХауАналитикаДеньгиБизнес технологииКурс валют
Rating@Mail.ru
Условия размещения рекламы

Наша редакция

Обратная связь

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Skype: rosinvest.com (Русский, English, Zhōng wén).

Архивы новостей за: 2017, 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003