Внимание! КГБ снова рассылает вирусы

Белорусские спецслужбы провели попытку заражения компьютеров Белорусского Трибунала.

На общий адрес электронной почты организации была прислана ссылка на файл, якобы содержащая видео с празднования назначения Валерия Вакульчика главой Следственного Комитета Беларуси, сообщает "Народная воля".
 
Файл вызвал подозрения у сотрудников Белорусского Трибунала и был сразу же передан на анализ эксперту по информационной безопасности.
 
Подозрения подтвердились. Файл оказался не видео, а файлом-обманкой, проигрывающим при запуске видео и одновременно устанавливающим на компьютер программу Remote Manipulator System, производства российской компании TektonIT, позволяющей осуществлять скрытый полный доступ к системе, вплоть до удаленного подключения к микрофону и веб-камере. Обычное назначение данной программы.
 
Точно такую же программу, по заданию КГБ, должен был установить на компьютеры активистов кампании «Революция через социальную сеть», скрывающихся в Польше, Максим Чернявский, о чем он рассказал на пресс-конференции прошедшей в Варшаве 8 ноября.
 
По словам технического эксперта, эта попытка может очень много сказать о  «прогрессе» КГБ в сфере высоких технологий. Использование не своего собственного, а коммерческого продукта, к тому же произведенного в другой стране и бесплатного для домашнего использования,  а так же подобных способов установки на компьютеры пользователей демонстрирует как низкий уровень подготовки кадров, так и недостаток финансовых ресурсов у этой организации для разработки продуктов действительно эффективной слежки за активистами в Интернете.
 
В данный момент Белорусский Трибунал рассматривает целесообразность обращения в полицию Нидерландов по поводу попытки атаки на компьютеры голландской общественной организации.
Исследование содержимого файла vakulchik_otmechaet_naznacheniya.wmv.scr
 
Файл представляет собой файл-обманку, который подавляющее большинство пользователей примет за видеофайл. Размер файла около 10 мегабайт. Расширение *.scr является стандартным расширением файлов хранителей экрана(заставок) в системах Windows. Заставки Windows являются исполняемыми файлами, и при запуске такого файла происходит его исполнение, несмотря на то, что расширение у этих файлов отнюдь не *.exe. Это может ввести обычного пользователя в заблуждение.
На самом деле данный файл не является ни видео, ни заставкой. Файл является самораспаковывающимся 7zip архивом, запакованным с помощью русской версии этого архиватора.
Внутри данного самораспаковывающего архива содержатся файлы:
• Vakulchik_otmechaet_naznacheniya.wmv
• Install.bat
• 1.exe
 
Так же архив содержит команду на автоматическое исполнение файла Install.bat по окончанию распаковки архива.
Файл Vakulchik_otmechaet_naznacheniya.wmv является видео файлом содержащим фрагмент ролика с танцующим мужчиной в трусах.
 
Файл Install.bat содержит инструкции на:
• безусловное, без подтверждений со стороны пользователя, копирование файлов Vakulchik_otmechaet_naznacheniya.wmv и 1.exe в системную директорию Windows
• запуск видеофайла Vakulchik_otmechaet_naznacheniya.wmv в полном окне в проигрывателе видео установленном в системе по умолчанию.
• Копирование видеофайла обратно в директорию, где был исполнен архив
• исполнение файла 1.exe из системной директории
Файл 1.exe является еще одним самораспаковывающимся 7zip архивом.
Внутри данного самораспаковывающегося архива содержатся файлы:
• install.cmd
• RMS.exe
• stop.js
 
Так же архив содержит команды на исполнение файла stop.js по окончанию распаковки.
Файлы install.cmd и stop.js  содержат в себе инструкции на запуск файла RMS.exe и удаление следов данных файлов.
Файл RMS.exe представляет собой еще один 7zip самораспаковывающийся архив.
Внутри данного самораспаковывающегося архива содержаться файлы:
• install.cmd
• rms.server5.1b1ru.msi
 
Так же архив содержит команды на исполнение файла install.cmd по окончанию распаковки.
Файл rms.server5.1b1ru.msi представляет собой дистрибутив программы «Remote Manipulator System» производства российской компании TeknotIT. Данная программа позволяет удаленно, скрыто осуществлять полный контроль над компьютером, на который она установлена
 
Файл install.cmd содержит в себе инструкции на скрытую установку программы и удаление из системного реестра Windows данных об инсталляции программы «Remote Manipulator System» из списка установленных в системе программ.
Благодаря «матрешке» из архивов, данный файл не детектируется как вирус или потенциально опасное ПО ни одним из антивирусов. Однако после установки, при настройке на достаточную степень чувствительности к рискам, программа Remote Manipulator System будет обнаруживаться большинством антивирусов.
15:11 14/11/2011




Loading...


загружаются комментарии