PandaLabs зафиксировала появление нового опасного трояна Briz, позволяющего злоумышленнику получать
Истоки нового трояна Briz.R кроются в афере по созданию и продаже персонализированных версий Briz, которая была обнаружена и уничтожена лабораторией PandaLabs (www.viruslab.ru) несколько месяцев назад.
Технология TruPreventTM обнаружила и блокировала Briz.R, не требуя предварительного обновления, поэтому пользователи, установившие эту технологию были защищены от Briz.R с момента его появления
Екатеринбург, 20 октября 2006
PandaLabs сообщает о появлении нового трояна Briz.R. Этот троян позволяет злоумышленнику получить удаленный контроль над зараженным компьютером и перенаправлять пользователей на поддельные веб-страницы, разработанные для кражи конфиденциальных данных.
Истоки нового вируса Briz.R кроются в афере по созданию и продаже персонализированных версий Briz, которая была обнаружена и уничтожена лабораторией PandaLabs несколько месяцев назад. По словам Луиса Корронса, директора PandaLabs, "после изучения кода нового трояна, мы почти стопроцентно уверены, что он является работой того же автора, который разработал первого трояна Briz. Похоже, что автор решил напрямую использовать свои детища для получения финансовой прибыли, поскольку бизнес по продаже адаптированных троянов не смог долго функционировать.”
Briz.R может проникать на компьютеры любыми путями, включая веб-страницы, скачивания подозрительных программ и т.д. Однако автор не предпринимал усилий по его масштабному распространению, чтобы избежать обнаружения антивирусными компаниями.
Атака Briz.R начинается с установки файла с именем iexplore.exe, который используется для проверки наличия активного подключения к Интернету. Если подключение найдено, он скачивает другой файл, под названием ieschedule.exe, который сохраняет конфигурационные параметры трояна и номер порта, через который будет отправлена украденная информация.
Другой скачиваемый компонент – файл ieserver.exe, перенаправляет пользователя на поддельные веб-страницы, разработанные для кражи личных данных, когда пользователь пытается зайти на определенные веб-адреса. Многие из этих страниц принадлежат онлайновым финансовым сервисам. Если пользователь вводит данные на одной из поддельных страниц, троян крадет их и отправляет кибер-преступнику.
Этот веб-сервер также позволяет злоумышленнику получить удаленный контроль над зараженным компьютером. Он делает это, устанавливая созданное на PHP приложение phpRemoteView.
Briz.R также скачивает компонент под названием smss.exe, который изменяет системный hosts-файл. Эти модификации блокируют доступ к большому количеству веб-страниц, относящихся к ИТ-безопасности.
Предупреждающая технология TruPreventTM обнаружила и заблокировала Briz.R, не обладая предварительной информацией о нем, т.е. не полагаясь на установку обновлений. Поэтому компьютеры, на которых установлена эта технология, были защищены с первого появления данной угрозы.
“Наблюдается заметное увеличение количества вредоносных кодов, таких как Briz.R, которые специально разработаны так, чтобы оставаться незамеченными пользователями и антивирусными компаниями, при этом последние неспособны создавать вакцины, т.к. не знают о существовании угрозы. Это проблема, которая должна быть решена с помощью технологических инноваций. Возможностей традиционных антивирусов уже не хватает для борьбы с такими атаками, и они должны дополняться предупреждающими технологиями, способными обнаруживать присутствие вредоносного ПО, не требуя обновлений,” добавляет Корронс.
Чтобы помочь как можно большему количеству пользователей проверить и вылечить свои системы, Panda Software Russia предлагает воспользоваться бесплатным антивирусом Panda ActiveScan, который теперь способен обнаруживать шпионское ПО, по адресу http://www.viruslab.ru/service/check/. Веб-мастеры, желающие разместить ActiveScan на своих сайтах могут бесплатно получить HTML-код по адресу: http://www.viruslab.ru/partners/portal/.
О PandaLabs
С 1990 года ее миссией был как можно более быстрый анализ новых угроз для защиты клиентов. Несколько команд, каждая из которых специализируется на конкретном типе вредоносного ПО (вирусы, черви, трояны, шпионы, фишинг, спам и т.д.), работают круглосуточно, предоставляя непрерывную техническую поддержку. В достижении этого, им на помощь приходит технология TruPrevent™, действующая как глобальная система раннего оповещения, состоящая из стратегически распределенных сенсоров, нейтрализующих новые угрозы и отправляющих их в PandaLabs на анализ. По данным компании Av.Test.org, на настоящий момент PandaLabs является быстрейшей лабораторией по предоставлению обновлений пользователям во всей отрасли
(более подробная информация по адресу: www.viruslab.ru ).
Екатеринбург, 20 октября 2006
PandaLabs сообщает о появлении нового трояна Briz.R. Этот троян позволяет злоумышленнику получить удаленный контроль над зараженным компьютером и перенаправлять пользователей на поддельные веб-страницы, разработанные для кражи конфиденциальных данных.
Истоки нового вируса Briz.R кроются в афере по созданию и продаже персонализированных версий Briz, которая была обнаружена и уничтожена лабораторией PandaLabs несколько месяцев назад. По словам Луиса Корронса, директора PandaLabs, "после изучения кода нового трояна, мы почти стопроцентно уверены, что он является работой того же автора, который разработал первого трояна Briz. Похоже, что автор решил напрямую использовать свои детища для получения финансовой прибыли, поскольку бизнес по продаже адаптированных троянов не смог долго функционировать.”
Briz.R может проникать на компьютеры любыми путями, включая веб-страницы, скачивания подозрительных программ и т.д. Однако автор не предпринимал усилий по его масштабному распространению, чтобы избежать обнаружения антивирусными компаниями.
Атака Briz.R начинается с установки файла с именем iexplore.exe, который используется для проверки наличия активного подключения к Интернету. Если подключение найдено, он скачивает другой файл, под названием ieschedule.exe, который сохраняет конфигурационные параметры трояна и номер порта, через который будет отправлена украденная информация.
Другой скачиваемый компонент – файл ieserver.exe, перенаправляет пользователя на поддельные веб-страницы, разработанные для кражи личных данных, когда пользователь пытается зайти на определенные веб-адреса. Многие из этих страниц принадлежат онлайновым финансовым сервисам. Если пользователь вводит данные на одной из поддельных страниц, троян крадет их и отправляет кибер-преступнику.
Этот веб-сервер также позволяет злоумышленнику получить удаленный контроль над зараженным компьютером. Он делает это, устанавливая созданное на PHP приложение phpRemoteView.
Briz.R также скачивает компонент под названием smss.exe, который изменяет системный hosts-файл. Эти модификации блокируют доступ к большому количеству веб-страниц, относящихся к ИТ-безопасности.
Предупреждающая технология TruPreventTM обнаружила и заблокировала Briz.R, не обладая предварительной информацией о нем, т.е. не полагаясь на установку обновлений. Поэтому компьютеры, на которых установлена эта технология, были защищены с первого появления данной угрозы.
“Наблюдается заметное увеличение количества вредоносных кодов, таких как Briz.R, которые специально разработаны так, чтобы оставаться незамеченными пользователями и антивирусными компаниями, при этом последние неспособны создавать вакцины, т.к. не знают о существовании угрозы. Это проблема, которая должна быть решена с помощью технологических инноваций. Возможностей традиционных антивирусов уже не хватает для борьбы с такими атаками, и они должны дополняться предупреждающими технологиями, способными обнаруживать присутствие вредоносного ПО, не требуя обновлений,” добавляет Корронс.
Чтобы помочь как можно большему количеству пользователей проверить и вылечить свои системы, Panda Software Russia предлагает воспользоваться бесплатным антивирусом Panda ActiveScan, который теперь способен обнаруживать шпионское ПО, по адресу http://www.viruslab.ru/service/check/. Веб-мастеры, желающие разместить ActiveScan на своих сайтах могут бесплатно получить HTML-код по адресу: http://www.viruslab.ru/partners/portal/.
О PandaLabs
С 1990 года ее миссией был как можно более быстрый анализ новых угроз для защиты клиентов. Несколько команд, каждая из которых специализируется на конкретном типе вредоносного ПО (вирусы, черви, трояны, шпионы, фишинг, спам и т.д.), работают круглосуточно, предоставляя непрерывную техническую поддержку. В достижении этого, им на помощь приходит технология TruPrevent™, действующая как глобальная система раннего оповещения, состоящая из стратегически распределенных сенсоров, нейтрализующих новые угрозы и отправляющих их в PandaLabs на анализ. По данным компании Av.Test.org, на настоящий момент PandaLabs является быстрейшей лабораторией по предоставлению обновлений пользователям во всей отрасли
(более подробная информация по адресу: www.viruslab.ru ).