Журналисты и политики под колпаком КГБ

Расследование предновогодних взломов оппозиционных интернет-ресурсов дало ошеломительный результат. Оказалось, под негласным контролем белорусских спецслужб длительное время находились компьютеры, а также личная переписка через Skype, электронную почту и социальные сети, не только некоторых работников взломанного 29 декабря сайта "Хартия-97", но и известных белорусских журналистов, политиков, общественных деятелей, активистов.

Журналисты и политики под колпаком КГБ
Троянская сеть контролировалась с помощью нескольких ящиков электронной почты; удалось получить доступ к некоторым: [email protected] и [email protected]

Как пищет сайт electroname.com, анализ присланных вирусами логов активности зараженных компьютеров позволяет утверждать, что спецслужбы незаконно прослушивали редакцию Хартии, Ирину Халип, Марину Коктыш, Сергея Возняка, Павла Маринича, Елену Новикову, Виктора Радькова и многих других людей. Предпринимались попытки заражения компьютеров Белорусской ассоциации журналистов, Дмитрия Лоевского, адвоката Алеся Беляцкого, Вячеслава Дианова, координатора "молчаливых" акций протеста. Были ли попытки успешными - неизвестно.
 
Сеть работала как минимум с июля 2011 года. Именно тогда установлено первое задокументированное заражение одного из компьютеров. Были украдены пароли от Skype (это позволяет включить Skype на другом компьютере и параллельно читать всю переписку пользователя), социальных сетей, e-mail и даже пароли доступа к интернет-провайдеру, записывалась картинка десктопа с действиями пользователя, копирование в буфер обмена, набор текста в текстовых редакторах, мессенджерах.
 
Злоумышленники использовали три вида вирусов: уже известный вирус КГБ или RMS от TeknotIT, UFR Stealer - вирус, заражающий компьютер через флешку, и Keylogger Detective. Это так называемые "трояны для школьников". Их можно свободно купить в Рунете за 20-30 долларов.
 
Удалось установить и белорусский IP-адрес, который принадлежит владельцам вирусов и двух e-mail. Адрес сохранился в отправленных и тестовых письмах в обоих почтовых ящиках. Этот же самый адрес есть в логах нападения на charter97.org и electroname.com - 178.124.157.86. IP-адрес зафиксирован в логах e-mail и серверов под разными датами, т.е. адрес статичный и используется постоянно.

Другими словами, заражение компьютеров, прослушка и атака на сайты выполнена одной и той же группой.
 
Судя по тому, что Максим Чернявский, завербованный куратором Димой из КГБ, также получил задание установить "вирус" RMS от TeknotIT на компьютер Вячеслава Дианова, можно предположить - эта группа киберпреступников из КГБ.
 
Предлагаем инструкцию по поиску и удалению вирусов:
 
I. KeyloggerDetective
 
Троянская программа, известная как Keylogger Detective, детектируется как "modified Win32/PSW.Sycomp.G" (NOD32), "Trojan.MulDrop3.2380" (DrWeb), "Trojan-Spy.Win32.Agent.btzs" (Kaspersky), "TrojanSpy:Win32/Keylogger.BK" (Microsoft), "SHeur3.CKGS" (AVG), "Trojan.ADH" (Symantec), "TrojanSpy.Agent.btzs" (VBA32).
 
Файл имеет размер 87,312 байт. MD5: e740bf2a9539bf4fc4df88cf4e799bf2
 
При запуске создаёт директорию "C:\Documents and Settings\<Пользователь>\Application Data\sysdata", куда копирует себя, и сохраняет в ней файлы с информацией о нажатых клавишах, активных окнах, кликах мыши и содержимом буфера обмена. Файлы, с перехваченной информацией, имеют вид sys.dat, 0sys.dat, 1sys.dat. Собранную информацию отправляет на указанный в программе почтовый ящик по мере её накопления.
 
Для автозапуска, при загрузке системы, использует ключ реестра
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\yrrrrt2.
 
Для ручного удаления необходимо:
 
1. принудительно завершить процесс svssvc.exe (см. картинку);
 
2. удалить директорию
"C:\Documents and Settings\<Пользователь>\Application Data\sysdata";
 
3. удалить ключ реестра
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\yrrrrt2
 
либо отключить автозапуск с помощью стандартной утилиты msconfig.exe (см раздел Автозапуск, элемент svssvc).

После удаления программы рекоммендуется сменить пароли от всех ресурсов, доступ к которым осуществлялся с зараженной системы.
 
II. UFR Stealer
 
Троянская программа, известная как UFR Stealer, детектируется как "Trojan.PWS.UFR.11" (DrWeb), "Generic23.FQT" (AVG), "Trojan-PSW.Win32.Ruftar.bsa" (Kaspersky), "Trojan:Win32/Anomaly" (Microsoft), "a variant of Win32/Spy.Usteal.A" (NOD32), "Trojan.Khil.23905" (VBA32)
 
Файл имеет размер 52,736 байт. MD5: 71f950f31c15023c549ef4b33c2bf1e0
 
При запуске собирает логины/пароли приложений, используемых в системе. Поддерживает кражу паролей от таких программ как Opera, Firefox, Chrome, Internet Explorer, QIP, MSN Messenger, ICQ, Mail.ru Agent, Pidgin, Google Talk, Miranda, The Bat!, FileZilla, Total Commander и др. Также собирает общую информацию о системе. Сохраняет собранную информацию в папку ufr_files, в директории, где была запущена программа и пытается передать собранные данные на указанный в теле программы почтовый ящик. После этого самоудаляется.
 
В системе не закрепляется, поэтому ручное удаление из системы не требуется. При обнаружении такого файла удалите его самостоятельно, не запуская.
 
Определить была ли запущена у вас данная программа можно по характерным следам, которые остаются в системе:
 
* Наличие папки ufr_files на вашем диске с файлами *.dat, *.bin, *.txt, *.ds;
* Наличие prefech-файла по пути:
C:\Windows\Prefetch\ABGREYD.EXE-*.pf.

После удаления программы рекоммендуется сменить пароли от всех ресурсов, доступ к которым осуществлялся с зараженной системы.
 
III. RMS Trojan
 
Троянская программа, построенная на основе легальной программы для удаленного администрирования, известной как Remote Manipulator System (http://www.tektonit.ru). Компоненты, являющиеся легальным ПО, не детектируются антивирусными программами как вредонсоные файлы, однако инсталятор определяется как "Worm.Autorun-8201" (ClamAV), "Trojan.Generic.6178206" (GData), "Backdoor.BAT.Agent.l" (Kaspersky), "Backdoor.BAT.Agent.l" (VBA32).
 
Файл имеет размер 2,782,938 байт. MD5: 3299b4e65c7c1152140be319827d6e04
 
При запуске создает скрытую директорию C:\Windows\system32\catroot3, куда копирует различные компоненты программы удаленного управления, настраивает системный фаервол, создаёт скрытый файл C:\Windows\system32\de.exe. После этого запускает программу удаленного управления и самоудаляется из директории запуска.
 
Наличие в системе можно определить:
 
* по работающим процессам rutserv.exe или rfusclient.exe;
 
* по наличию скрытых директории C:\Windows\system32\catroot3 и файла C:\Windows\system32\de.exe;
 
* по наличию сервиса с именем "TektonIT - R-Server".
 
Управление осуществляется по собственному протоколу (на основе TCP), используя сервера компании Tekton-IT, предоставляемые на бесплатной основе.
 
Для быстрого ручного удаления можно воспользоваться деинсталятором, который, видимо, по ошибке атакующих, копируется в систему вместе с остальными компонентами вредноносного сервиса. Запуск C:\windows\system32\de.exe удалит записи из реестра, остановит работающий сервис и удалит все компоненты приложения, включая и сам файл de.exe.
 
После удаления программы рекоммендуется сменить пароли от всех ресурсов, доступ к которым осуществлялся с зараженной системы, а также как можно раньше переустановить всю операционную систему, т.к. она могла быть заражена любыми другими вредоносными программами, которые загрузили с помощью текущей.
10:27 09/01/2012




Loading...


загружаются комментарии