16 Мая 2007 11:05 16 Мая 2007 11:05 |

Поделиться

PandaLabs: Mpack – утилита для загрузки вирусов

Существует, по меньшей мере, 10 тыс. веб-страниц, которые заражают компьютеры при помощи данной утилиты. Mpack продается по цене $700 на онлайновых форумах. Создатели даже предлагают обновления для работы с новыми уязвимостями и бесплатную годовую поддержку.

Кроме подсчета количества зараженных компьютеров, данная страница позволяет киберпреступникам отслеживать данные о хосте, на который совершается атака, а также группировать хосты в соответствии с установленной операционной системой или браузером. Также на этой странице отображается эффективность заражений в различных географических регионах.

«Mpack содержит функции, которые обычно включаются в легальные приложения. Например, обновления клиента. В роли обновлений выступают другие версии приложения, которые на самом деле являются эксплойтами, необходимыми для того, чтобы воспользоваться самыми новыми обнаруженными уязвимостями. Обычно выходит по одному обновлению в месяц, а их стоимость колеблется от $50 до $150», — объясняет Луис Корронс (Luis Corrons), технический директор PandaLabs.

Еще за $300 клиентам предлагается приобрести DreamDownloader. Это утилита, предназначенная для создания загрузочных троянов. Она работает следующим образом: хакер сообщает DreamDownloader URL, в котором расположен нужный файл (троян, червь, обновление вредоносного ПО и др.), а утилита затем автоматически генерирует исполняемый файл для его загрузки.

Mpack заражает скрыто. Киберпреступники используют несколько технологий для того, чтобы заставить пользователя запустить вредоносный файл. В случае с веб-серверами, они обычно добавляют в конце i-кодированную ссылку на файл, загружаемый по умолчанию и содержащий классификационную страницу, на которой установлен Mрack. Иногда они используют тот же самый взломанный сайт для размещения Mpack или других видов вредоносного ПО.

Александр Бабкин, Газпромбанк: Сейчас иностранные ИБ-решения в Газпромбанке замещены на 65%

безопасность

Согласно другой технологии заражения, они размещают на хостовых веб-страницах определенные слова, обычно это слова, которые наиболее часто используются при поиске.

Есть еще один способ заражения — покупка доменов с названиями, похожими на названия известных сайтов: например, gookle, в котором лишь одна буква отличается от наименования известного поисковика google.

И, в конечном итоге, еще остается спам. Электронные сообщения обычно содержат ссылки, а для перехода по ним используются методы социальной инженерии.

Сразу после проникновения в компьютер, код запускается и собирает данные о зараженном ПК. Такая информация затем пересылается на сервер, где и хранится.

Поделиться

Подписаться на новости Короткая ссылка