Банковские трояны

Встречайте, мою вторую статью на этом сайте, относящейся к банковской тематике. Надеюсь, она будет актуальна и попадет на главную страницу livetrend.ru, не то что первая, была конечно интересная (судя по комментариям) и на это мероприятие сходило некоторое количество присутствующих тут людей, но немного не соответствовала тематике, идее и концепту сайта. Речь пойдет о двух троянах ZeuS и Spy-Eye, которые специализируются на взломе банковских счетов и сборе данных кредитных карт.

На сегодняшний день, это два электронных вора, которые соревнуются за мировое господство, в своей мошеннической деятельности. Виртуозные трояны вышвыривают с зараженного ПК, друг друга, тем самым избавляясь от конкуренции. В статья я постараюсь рассказать, о том, как функционирует рынок подобных программ и что творят трояны на пораженных компьютерах.

Как работаю банковские трояны


  • Инфицированный сайт: мошенник заражает страницу вредоносным ПО и эксплоитом
  • Работает эксплоит: пользователь открывает страницу и подхватывает трояна
  • Зараженный ПК: вредоносное ПО прячется среди процессов Windows
  • Мошенник в компьютере: при запуске браузера троян активируется
  • Контроль банковского перевода: троян на лету управляет HTML трафиком
  • Манипуляции с переводом: мошенние меняет данные в своих интересах и направляет их в банк
  • Выплата денег мошеннику: банк получает платежное поручение на обычный перевод

ZeuS прадедушка банковских троянов


Вредоносная программа под именем ZeuS (или ZBot) существует с 2007 года и функционирует как большинство ботнетов: все зараженные компьютеры получают команды от сервера Command&Control, то есть из центра управления. Туда трояны отправляют все украденные банковские данные, затем мошенник изменяет их в своих интересах и пересылает в банк, чтобы опустошить чужой счет. В то время как другие вредоносные программы, например Conficker, по своему принципу работы являются универсальными и помимо DDoS-атак способны распространять волны спама, ZeuS специализируется только на краже данных, с помощью которых жертву можно обчистить до копейки.

Причина успеха кроется в инновации разработчика: веб-инжекты для этого трояна, служащие для подмены данных, стали неким стандартом в отрасли, так что их берут на вооружение даже конкуренты. В них определено, что должен делать троян, когда пользователь открывает конкретный сайт. При вызове страницы банковского портала эта вредоносная программа на лету меняет код HTML, вставляет собственную форму для ввода данных и таким образом получает коды PIN и одноразовые пароли. Веб-инжекты разработаны для различных финансовых учреждений во многих странах. Подтасовываются формы на сайтах не только банков, но даже системы PayPal. Поэтому во избежание манипуляций с браузером на банковской странице не должно быть никаких уязвимостей. При этом домен, а также сертификат SSL будут совпадать. Зараженный компьютер дает пользователю ложную уверенность в безопасности, и человек теряет контроль над своим счетом, а в худших случаях и деньги.

Эксперты исходят из того, что за последние несколько лет ZeuS сумел украсть со счетов по всему миру более $70 млн. Однако кажущееся монопольное положение этого цифрового грабителя не могло долго оставаться незыблемым.

SpyEye с начинкой киллером для ZeuS


В конце 2009 года на русскоязычных хакерских форумах появилась новая вредоносная программа под названием SpyEye. У этого трояна такой же принцип действия, как у ZeuS, и он тоже является специалистом по грабежу банковских счетов. Но SpyEye не захотел делить рынок с ZeuS, а наоборот, стал вытеснять его. Разработчики хорошо изучили своего старшего противника, проанализировали его ошибки и слабые места и сделали соответствующие выводы. Результатом стал почти идеальный троян, установивший новые стандарты и, таким образом, составивший мощную конкуренцию. В случае с ZeuS вы были еще хоть как-то защищены, если использовали для своих банковских операций браузер Firefox, ведь эта вредоносная программа была способна заражать лишь Internet Explorer и собирать коды PIN и одноразовые пароли, введенные только в нем. SpyEye с самого начала мог слушать браузер от Mozilla. В ответ его соперник прибавил в скорости, и теперь даже Firefox не дает зашиты от захвата данных ZeuS.

При этом SpyEye нашел ахиллесову пяту ZeuS и использовал ее в своих интересах: разработчики послед него проделали в нем черный ход, через который можно было как стереть троян, так и загрузить обновления для него. Разработчики SpyEye не упустили такой шанс и встроили в свой троян киллера для ZeuS, легко и просто устраняющего конкурента. Некоторые продукты производителей антивирусов удаляют этот троян аналогичным образом.

111

Пиар-акции для SpyEye


Функция убийцы ZeuS привела в движение весь черный рынок. Он ведет себя почти так же, как и легальный: существуют схема лицензирования для защиты от пиратских копий, жесткая ценовая борьба и даже саботажи. Но в то время как остальные разработчики вредоносного ПО предпочитают держаться в тени, создатель SpyEye, известный под именем Harderman, ищет славы. Он размещает в Сети баннеры, рекламирующие его продукт, а на просторах Интернета легко встретить его интервью, не считая записей на форумах под его псевдонимом. Специалисты считают это пиар-акцией, призванной не только насторожить конкурентов, но и обмануть охотников за вирусами и прессу.

Так, американский журналист Брайан Кребс сообщил в своем блоге, что создатель ZeuS — Slavik — собирается отойти от дел и продать исходный код. А купить его должен не кто иной, как Harderman. Якобы он планирует интегрировать лучшие функции ZeuS в SpyEye и создать супертроян. Но эксперты считают, что эта операция не состоится. В начале 2011 года эксперты обнаружили сервер, предлагающий ZeuS в качестве службы. Уже состоялось более 150 инсталляций этого трояна. Таким образом, мошенники без специальных технических знаний способны воспользоваться всеми возможностями данной услуги. Это показатель того, что ZeuS не дремлет. Однако неизвестно, кто стоит у руля.

Охотники за троянами


Заявление об отходе от дел разработчика ZeuS вполне может быть уткой, запущенной с целью увести самый популярный банковский троян с линии огня. ZeuS давно уже на мушке охотников за вирусами. Онлайновый проект ZeuS Tracker готовит этой программе большие неприятности, и, кажется, его работа будет достаточно эффективной. В троянах содержится информация о местоположении сервера Command&Control, с которого преступники контролируют ботнет. Трекер извлекает эти данные и позволяет наблюдать за центрами управления трояном и блокировать их.

SpyEye опасен настолько, что для него существует собственный трекер. Но благодаря своей структуре этот троян более гибок и справляется с противниками быстрее, чем ZeuS. Плагин позволяет дополнить Spy-Eye таким образом, что тот начинает производить DDoS-атаки на трекер. Троя ну ZeuS для этого требуется использование дополнительного вредоносного ПО, поскольку в нем самом отсутствует возможность расширения. Именно этим будет отличаться потенциальный преемник ZeuS — особо коварными дополнениями, например кеш-функцией. Оба этих тро-яна могут изменять банковский перевод во время сессии. Однако если жертва ZeuS зайдет на свою страницу позже, она увидит, что деньги были направлены другому лицу, и сможет связаться с банком. А вот Spy-Eye предусмотрел такой вариант и создает видимость того, что транзакция была совершена так, как положено. Поэтому при подозрениях пользователю следует зайти на свой банковский счет с другого компьютера и убедиться, что не было произведено никаких манипуляций.

Как защититься от заражения


Чаше всего жертвы подхватывают вирус по технологии Drive-by-Downloads (теневые загрузки) на инфицированных сайтах, а также на взломанных страницах и в блогах, где хакеры разместили свои трояны вместе с эксплоитами. Последние проверяют браузер на наличие уязви мостей в плагинах Flash, QuickTime и PDF, через которые ZeuS или SpyEye могут попасть на компьютер. Затем эти трояны прячутся в процессах Windows, дожидаясь там, пока пользователь выйдет в Интернет и откроет банковскую страницу. Вредоносное ПО изменяет ее, вставляя фальшивую форму для входа в систему, а также поля для ввода одноразового пароля.

Для обнаружения вредоносного ПО в случае заражения необходимо тщательно исследовать систему. Утилита Gmer нападет на след ZeuS, SpyEye и их аналогов и уничтожит их. Несмотря на то что после заражения надежнее переустановить систему, можно избавиться от троянов и с помощью приложения. Перед запуском программы необходимо выйти из Сети. Желательно также вынуть сетевой кабель и деактивировать беспроводное соединение. Кроме того, следует закрыть все программы и отключить брандмауэр.

После этого запускаем Gmer. Пользователям версий Windows Vista и 7 следует открыть программу от имени администратора. Автоматически начнется первое сканирование. При появлении во всплывающем окне рекомендации провести полный анализ отклоните ее. Чтобы изгнать SpyEye и его товарищей со своего компьютера, выберите в утилите вкладку Services. Кликните правой кнопкой мыши по соответствующему значку, и троян будет удален. Чтобы не оказаться в подобной ситуации, необходимо заранее защитить компьютер. Для этого соблюдайте известные правила: используйте только последнюю версию браузера и обновляйте операционную систему и антивирусную защиту на основе анализа поведения ПО. Искренне ваш IT-Master.

20 комментариев

avatar
Всё, статья о банковских троянах на первой странице сайта. Как и требовалось доказать Windows — это злая операционная система!
avatar
а что ты посоветуешь из ОС?
avatar
Операционную систему надо выбирать не с бухты-барахты, а в зависимости от того, какие задачи планируется решать под ней.
avatar
Кесарю кесарево, а Богу Богово!
avatar
Многие программы не идут под другие ОС, кроме Windows — это касается всяких 1С бухгалтерия, а Adobe пакеты только под Win и Mac есть, в этом случае про Kinux можно забыть.
avatar
про Linux можно забыть
если взять бубен, то можно и photoshop заставить работать под Linux
avatar
Нужен Photosop — ставьте Windows или покупайте Mac. Так-же, если стоит Windows не понимаю, зачем люди делают его похожим на Mac ]:->
avatar
Mac OS X всем :-)
avatar
а бесплатный софт под него имеется?
avatar
Конечно, даже специализированные ресурсы имеются, только на английском: Mac Freeware and Free mac Software for OSX, Freeware software for Apple Macs, Open Source Mac.
avatar
маки дорогие, зарплата у меня не резиновая(((((
avatar
При вызове страницы банковского портала эта вредоносная программа на лету меняет код HTML, вставляет собственную форму для ввода данных и таким образом получает коды PIN и одноразовые пароли. Веб-инжекты разработаны для различных финансовых учреждений во многих странах
а антивирусы не ловят эту заразу? или лучше сказать эти, а то как-то странно троян есть, проникает на компьютер и делает всё что угодно?
avatar
Наверное, смотря какой антивирус.
avatar
Avast
avatar
Не знаю как сейчас, но третья версия Avast была дырявая… вирусы ходили туда — сюда, с тех пор и не пользуюсь. А у тебя 3 или 4?
avatar
Уже avast 6 вышел, если речь идет о free версии. А я смотрю ты у себя на сайте опрос опубликовал, о антивирусах.
avatar
Можно Linux поставить и проблем почти не будет. Если вирусофобия преследует то в довесок и avast! Linux Home Edition, AVG for Linux Workstation, Avira AntiVir Personal.
avatar
В интернете можно найти кучу объявлений, где требуются дроперы кредитных карт, продаются дампы кредиток и ещё много всего. В основном данные пластиковых карт утекают в местах, где большая текучка персонала, т.е. кто-то уходит и забирает с собой (копирует) базу, а потом продает. При использовании безналичного расчета, советую к каждой операции подходить с умом.
avatar
И избегать подозрительных банкоматов и «бутиков». Интересно есть ли у банка усуга: «Только в России», т.е. чтобы расплачиваться картой можно было только в пределах родины — это позволит избежать дропа за рубежом.
avatar
мне один товарищ рекомендовал, перед каждым входом в интернет-банк проверять свой компьютер на вирусы
на сколько это оправдано?
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.