Вирус цитадель что это
О вирусах сказано уже много, в том числе и на этом сайте. Тем не менее каждый день в мире появляются десятки новых вирусов и хоть и редко, но встречаются экземпляры, которые очень серьезно угрожают не только компьютеру, но и кошельку пользователя.
Этой заметкой я еще раз хочу акцентировать Ваше внимание на то, что антивирусной программы на Вашем компьютере не достаточно, для того, чтобы полностью себя обезопасить от потери конфиденциальной информации или выхода компьютера из строя. Очень многое зависит от самого пользователя и его действий.
Для иллюстрации этой мысли хочу привести перевод статьи о вирусе Citadel, который не так давно помог своим создателям заработать кругленькую сумму.
Злоумышленникам удалось заразить несколько миллионов компьютеров по всему миру вирусом Citadel. По словам экспертов по безопасности, этот вирус распространялся главным образом за счет нелегальных копий операционной системы Windows, а также посредством мошеннических сообщений, рассылаемых по электронной почте. В настоящий момент вирус принес своим разработчикам более 500 миллионов долларов.
Несмотря на то, что антивирусные компании научились идентифицировать этот вирус еще несколько месяцев назад, полностью изолировать его до сих пор пока не удалось. Вирус способен блокировать антивирусные программы и препятствовать обновлению антивирусных баз, что позволяет ему оставаться не обнаруженным.
Менее внимательные пользователи о присутствии вируса на компьютере даже и не подозревали, что значительно упростило работу злоумышленников. Этот факт также является главной причиной такого широкого распространения вируса.
Благодаря изощренному вредоносному коду злоумышленники получали полный контроль над зараженным компьютером. Могли, например, получить информацию о логинах и паролях пользователя для доступа к аккаунтам на различных интернет-сервисах, в том числе и интернет-банкинга.
Зараженные компьютеры злоумышленники сдавали в аренду всем желающим за десятки тысяч долларов, и это составляло значительную часть их доходов. Такие компьютеры могли служить для проведения различных хакерских атак и для осуществления другой незаконной деятельности.
Предполагается, что разработчики вируса являются выходцами из СНГ, так как вирус не поражает компьютеры с установленной русской раскладкой клавиатуры. Но это вовсе не означает, что можно расслабиться. С каждым днем вирусы становятся все изощреннее и уже речь идет не только о нанесении повреждений Вашему компьютеру, а все чаще злоумышленники пытаются получить доступ к Вашей конфиденциальной информации, которая позволит им либо сразу получить доступ к Вашим деньгам, либо использовать информацию для продажи заинтересованным людям.
Да и сам факт встройки такого вируса в пиратскую операционную систему заставляет задуматься.
Я считаю, что главную опасность для компьютера представляет сам пользователь. Поэтому подходите обдуманно к своим действиям, оценивайте риски при работе в интернет или при установке новых программ на компьютер и не полагайтесь всецело на антивирусную защиту. Только Вы сами можете оградить Ваш компьютер от многочисленных опасностей.
Не упустите возможность сделать доброе дело:
нажмите на кнопку социальной сети, в которой вы зарегистрированы, чтобы другие люди тоже получили пользу от этого материала. СПАСИБО!
в чем может быть эта проблема,возникает при запуске игры. Не связано ли это с вирусом?
Андрей! Спасибо Вам за все! Спасибо за Ваши изумительные уроки!
Андрей!Спасибо Вам большое за все!Спасибо за Ваши изумительные уроки!
. очень полезная инфа.
Андрей, большое спасибо . очень ценная информация, надо быть подкованным, так как постоянно что-то скачиваю из интернета. на днях словила два трояна. да, надо уже голову включать.
Господа, хотелось бы по делу комментарии, хватит ругаться, оскорблять других,будьте снисходительнее друг к другу. Кто -то более продвинутый пользователь, кто-то менее, но мы люди и должны быть терпимы! Пожалуйста, уважайте себя!И Андрею неприятно читать, он же для нас старается. Извините, спасибо.
Андрей, спасибо за статью, такие вещи действительно нужно знать и вы щедро делитесь с нами информацией. У Вас талант педагога, заинтересованного в своем деле. Многие знают, но объяснить так понятно не многие могут. Спасибо, ждем Ваших уроков.
К сожалению, не смогла купить Ваш курс, сожалею.
Спасибо за информацию с друзьями поделилась.
Спасибо, Андрей ! Очень полезная статья ! И актуальна в любое время !
использовать печатную машинку и не задумываться о вирусах.
Я три года без АНТИВИРУСА работаю.
Статья не о том, как от вируса защититься, а о том, каким образом вирусы могут распространяться и для каких целей их распространяют. Здесь абсолютно не важно как называется вирус (хотя его название указано даже в заголовке). Важно совсем другое! У подавляющего большинства пользователей до сих пор есть некая иллюзия по отношению к вирусам. Почему-то пользователи считают, что вирус должен быть направлен лишь на них и их компьютеры, то есть должен как-то вредить компьютеру и только поэтому от него нужно защищаться. Данная заметка — это информация к размышлению (о чем, опять же, сказано в заголовке). По сути это новостная заметка и, если вы прочитаете ее название и второй абзац, то, надеюсь, поймете для каких целей я ее перевел и опубликовал на своем блоге.
что то ничего не поняла,про какой вирус идёт речь,как от него защитится? как его распознать на компе?статья обтекаемая и ни про что
Спасибо, Андрей, что Вы так доступно всё объясняете.Даже новичку пенсионеру всё понятно. Ещё раз большёе спасибо!
Здравствуйте, Андрей! Из своего опыта советую не ставте антивирус Mc Afee он тормозит и блокирует все ,что можно и нельзя, поставте Nod или Аваст и 10 будет работать. Я тоже намучился с этим антивирусом!
Благодарю за оценку моей деятельности:)
Всем привет. Хочу выразить огромную благодарность,Андрей, Вы прекрасный учитель,доступным языком ,без всяких" заморочистых" технических терминов,а если и есть то объясняете,что тоже очень помогает в дальнейшем обучении,изучаю виндовс 10,купила ваш курс по оффису ,отличный углубленный ,я в восторге,с нетерпением жду ваших новых уроков,СПАСИБО от меня и моего окружения. Сейчас читаю важную статью!БЛАГОДАРЮ.
Внимание, вирус! Обратите внимание на статью!
Андрей, твои уроки научили меня пользоваться компьютером и из чайника я научился многому, спасибо тебе, я познакомился с операционной системой Windows 10, а начал с 7. Еще раз большое тебе спасибо. После твоих занятий я лазил в интернете много но то что ты дал мне это что то. Твои уроки лучшие.
Андрей!! Ваши уроки лучшие и все.
Спасибо за информацию.Нина
Андрей спасибо большое статьи просто супер я думал что хорошо знаю комп оказалось что нет ещё раз спасибо
Благодарю за комментарий и оценку.
первый раз слышу, что невозможно переустановить этот проигрыватель ))
Надо в настройках ОС отключить функцию сообщений фирмачам из Microsoft каких-либо сообщения с твоего компа, вот и все дела. , им ничего не мешает засунуть в обновления своего шпиёна , что они наверняка и делают.А поэтому отключай этих казлов.))
Как может лицензионная операционная система нанести вред компьютеру? Дикий бред))
у тебя какая-то древняя версия проигрывателя, сейчас уже есть10 или 20-я.
Лмнукс запросто может поймать вирусы, просто Линуксом пользуется мизерное число людей и хакерам лень писать вирусы для этой ОС , овчина выделки не стоит.)) Да и под Линус вообще мало программного обеспечения делают и мизер игр .
чувак, ну ты и чайник однако)) в Виндовс 10 легко в настройках отключается функция передачи информации в Майкрасофт и в какие-то тобой придуманные спецслужбы )).И всем по -барабану чем ты там пользуешься,и твоя Вин8.1 вапще ацтой по сравнению с Вин.10, я это понял, когда перешел с Вин.8.1 на Вин.10.А кому надо, те соберут всю инфу с твоего компа запросто, ты этого даже и не заметишь ))
Нда, чувак, чайник ты непроходимый.Если тупо ничего не понимаешь в компах, то не лезь со своими тупыми коментариями. К твоему сведению, лошок, уроками Андрея Сухова пользуется пол России, и я лично не видел уроков лучше ,чем у него, хотя насмотрелся много уроков , где косноязычные что-то бормочут невнятное.Если ты реальный лох, то не надо тут какать на других, потому что ты, тупое днище, сам не сделал ещё ни одного видео , чмо кнопошное.
Спасибо Андрей за информацию.За-"чайник".Ваши статьи и уроки очень полезны.Мне
нравиться изучать компьютер по вашим урокам.А кому не нравиться,пускай откроет свой сайт по изучению компьютера,Увидим какой учитель из него получиться?
Ну скорее всего ваши комментарии только для вас показываются первой строкой, а для других пользователей на первом месте будут их комментарии. Таковы алгоритмы, позволяющие быстрее обнаружить ответы на свой комментарий.
Странно однако и одно не понять как, меня терпят редакции ТВ каналов и частные лица, годами держа мои комментарии первой
строкой? Согласитесь что, каша даже с маслом мало кого интересует. Может все таки дело в вашем характере из-за мыслительного типа а, такие люди если они вбили себе в голову что, их точка зрения верна — хоть убей мировоззрения не поменяют.
Ну и каша же у вас в голове! Я тут действительно бессилен помочь и мой сайт не для вас. Удачи!
За удаление спасибо а, то сам не мог отписаться- не получалось.
Пароль в каком 1 письме и от какого года открывать переписку?
Пароли доступа получал неоднократно и даже от администрации нашего ВВП — нашел в спаме а, с вами почему проблема?
Опять обиженно губки надул?, где я 3 диска Офиса взял?, сосчитал коробочки разного цвета =3.
НИГДЕ НЕ НАПИСАНО что программу Офис надо ВЫКУПИТЬ,
Теперь попробую разгрести тот бардак, который у вас возник в голове из-за банальной невнимательности.
Для получения доступа нужно ввести пароль, высланный вам в первом письме.
НИ ПЕРВЫЙ, НИ ВТОРОЙ курсы НЕ СНИМАЛИСЬ С ПРОДАЖ НА ДИСКАХ, ТАК КАК ОНИ БЕСПЛАТНЫ И НА ДИСКАХ НЕ РАСПРОСТРАНЯЮТСЯ! Это вы попутали с курсом по офисным программам (откуда вы взяли, что диска 3 я не знаю), который покупать никто вас не заставляет и НИГДЕ не написано, что его нужно купить, чтобы получить доступ к первым двум курсам. Это лишь ваши фантазии.
В общем, из рассылки я вас удалил, так как предпочитаю иметь дело с адекватными людьми, которые при возникновении затруднений обращаются за помощью, а не пишут много букв с обвинениями и еще какой-то, извиняюсь, чушью, которая к делу никакого отношения не имеет. Удачи!
Те кто может сам собрать компьютер из комплекутущих, им ваши уроки как лис после бани на заднице, они сами вас замочат, выжмут, на изнанку вывернут и сушить повесят.
У меня стоит 7 версия и защита от майкрасофт и если что попадает посторонние начинает мигать — полная проверка и пара троянов с каким-то вирусом выловлены.
После прочтения этой строки, вычеркните пожалуйста меня из списка своих подписчиков ибо кроме мелькания; 130 уроков бесплатно, 180 видеоуроков, 25 часов видео и прочей лабуды от вас не вижу а, когда достигну того уровня и смогу читать ваши письма — это будет вчерашний день и мне они будут НЕНУЖНЫ.
21 октября 2013
Банковские трояны подобны крысам, снующим около мусорного ящика, — стоит их пнуть, как они разбегутся в разные стороны. И вы их больше не увидите, только если услышите что-то о них. Однако есть квартет, который, кажется, никогда не сойдет с банковской сцены: Carberp, Citadel, SpyEye и, конечно же, Zeus.
Проблемы с этими банкерами таковы, что часто мы ловим их за занятием плохими вещами, при этом никак не связанными напрямую с кражей финансовой информации. Слишком все непросто в этом темном мире киберпреступности, однако в любом случае эти трояны представляют собой реальную проблему, так как они отлично отлажены для поиска и кражи банковской информации. Совсем не просто писать интересный материал о банковских троянах, так как все они одного поля ягоды, но тем не менее пробежимся по четырем наиболее известным.
Оригинальная версия Carberp является типичным представителем троянов. Она была создана для кражи конфиденциальной информации пользователей некоторых сайтов. Троян успешно воровал учетные данные и информацию о банковских картах. Все данные Carberp передавал своему создателю через специальный C&C-сервер, управляющий трояном. Работало все довольно просто. Единственной сложностью было непосредственное заражение системы жертвы, будучи при этом незаметным. И вот следующее поколение Carberp обзавелось плагинами. Один из них удалял антивирусное ПО из системы, а остальные убирали следы своей деятельности. Все стало еще интереснее, когда этот троян получил возможность шифровать передаваемые им данные. По мнению исследователей, Carberp стал первой программой-трояном, сгенерировавшей случайный код вместо до того применявшихся статических ключей.
С некоторых пор Carberp стал работать в команде с печально известным эксплойтом Blackhole, вместе с которым они создавали довольно серьезную эпидемию. Для создателей и самого трояна все было отлично. Им даже удалось разработать специальный модуль для Facebook, который пытался обманным путем выманить деньги у пользователей.
Немножко помешали в этом правоохранительные органы. В России было арестовано сразу 8 человек, ответственных за Carberp, однако сам троян до конца удалить из сетей не удалось. С тех пор и Carberp никуда не пропадал, и арестов больше не производилось. Некоторое время назад для того, чтобы использовать этот троян в своих целях, нужно было заплатить на хакерской бирже около $40 000. Однако вскоре исходный код был выложен в открытый доступ всем желающим.
Троян Citadel имел большой успех, пока Microsoft и другие крупные компании не проснулись и не начали масштабную чистку, удалив порядка 88% этой заразы из своих систем.
Шпионский глаз, вообще-то, был создан в качестве конкурента для Zeus. Однако царем горы ему стать не удалось, но шуму наделал он много. Частично работу этого трояна взял на себя ботнет Zeus, объединившись с оным в мегабанковскую бот-сеть. Правда, это сотрудничество продлилось недолго.
Злоумышленники нацеливали этого троянца для нападения на пользователей Verizon, где можно было бы безнаказанно красть конфиденциальную информацию покупателей. Попал троян в облако Amazon, что интересно. Затем появился и на Android-устройствах. Однако на этом славная пора закончилась серией арестов. Или, что тоже вероятно, его забросили, так как эффективность его была не такой высокой, чтобы уделять этому трояну много внимания. Трое прибалтов были арестованы за использование SpyEye летом 2012 года, когда они пытались развернуть сеть крупных краж банковской информации. В мае этого года был арестован и предполагаемый создатель, который скрывался в Таиланде, но был передан властям США, где его ожидали более 30 пунктов обвинения за киберпреступления и мошенничества.
С тех пор о SpyEye не слышно ничего серьезного.
Среди банковских вредоносов Zeus имеет наиболее широкую известность, уступая только Stuxnet, хотя это еще вопрос.
Вкратце — в DGA используется функция создания хэша из Windows Crypto API. Список доменов формировался при запуске по специальному алгоритму путем хэширования текущей даты и минуты (час не использовался). Кстати, во многих источниках ошибочно пишут то 800, то 1020 уникальных доменов (эти константы действительно используются в алгоритме). На самом деле их было всего 60 в день (минуты умножались на 17 и брался остаток от деления на 1020, 1020/17=60). Хэши переводились в ASCII коды и к ним добавлялись префиксы доменов верхнего уровня .biz, .info, .org, .com, .net, а также строка /forum. Следует отметить, что PE_LICAT не является вирусом в прямом смысле этого слова (как его классифицирует Kaspersky Lab) — он не способен самостоятельно заражать файлы. Запуск процедуры заражения файлов инициирует Zeus из семейства 2.1, получивший название TSPY_ZBOT.BYZ в классификации Trend Micro.
Полный цикл распространения выглядел следующим образом:
TSPY_ZBOT.BYZ запускается (автоматически путем при посещении сайта или в результате обновления предыдущей версией Zeus);
TSPY_ZBOT.BYZ извлекает из себя PE_LICAT;
TSPY_ZBOT.BYZ инфицирует при помощи PE_LICAT исполняемые файлы (в том числе на съемных носителях).
В дальнейшем TSPY_ZBOT.BYZ и PE_LICAT производили загрузку файла Zeus версии TSPY_ZBOT.SMEQ (по классификации Trend Micro) с доменов, созданных DGA.
Несмотря на заявление Slavik о передаче всего кода, исходный код Zeus 2.0.8.9, начиная с февраля 2011 года, стал предлагаться на продажу. В конечном итоге в мае 2011 года произошла утечка исходных кодов данной версии в свободный доступ. В архиве с исходниками отсутствовали некоторые файлы:
- peinfector.cpp;
- peinfector.h;
- peloader32.asm;
- worm.cpp;
- worm.h.
Предполагается, что это и есть модуль PE_LICAT (Murofet).
Впервые ботнет на базе Citadel был обнаружен в декабре 2011 года исследователи компании Securlet, сейчас количество ботнетов на базе Citadel исчисляется десятками.
В версии Zeus 2.1 была сделана попытка уйти от жестко заданного командного центра и перехода к более защищенной от действий антивирусных компаний системе управления (использование DGA). Как выяснилось позже, создатели Zeus продолжили свои изыскания в данной области.
В феврале 2012 года исследователи компании Symantec обнаружили очередной вариант Zeus, использующий ZP2P. Данная модификация содержала в себе встроенный web-сервер на базе Nginx. Протоколы связи в ZP2P стали использовать только UDP, для затруднения отслеживания потоков данных Zeus. Теперь бот получил возможность загрузки исполняемых файлов через протокол HTTP от других ботов. Таким образом, каждый бот мог выступать в качестве своеобразного командного центра или выступать в качестве посредника (прокси) в цепочке управления. Такая же техника использовалась в ботнете Waledac/Kelihos версии С, возродившемся в начале 2012 года — через два года после закрытия при содействии Microsoft и ряда антивирусных компаний в 2010 году.
Интересно, что ботсеть ZP2P использовалась для распространения двух вредоносных программ сторонних разработчиков — фальшивого антивируса и прокси-сервера, чего ранее за Zeus не замечалось. С целью оценки распространения этой версии Zeus, специалисты Symantec произвели мониторинг работы сети ZP2P. В период с апреля по июль 2012 года было зафиксировано 678.205 уникальных UID и 1.570.871 уникальных IP. Не все из данных IP были доступны, что объясняется нахождением за firewall или nat. К тому же провайдеры Интернета используют пул динамических адресов, поэтому к одному UID могли относиться разные IP адреса из диапазона пула. Наибольшее количество заражений приходилось на США (29.2%).
Как и прежде, основным источником заражения были письма, содержащие ссылки на вредоносные сайты, чаще всего перенаправлявший запросы браузера на эксплоит пак BlackHole. Благодаря этому установка вредоносных программ происходит без каких-либо действий пользователя (кроме просмотра зараженной страницы). Но на сей раз BlackHole загружал на компьютеры не сам P2P Zeus, а троянский загрузчик (trojan downloader) Pony. Pony представляет собой очередное crimeware, основная функция которого — загрузка и запуск вредоносных программ в обход средств антивирусной защиты. Pony имеет свою собственную админпанель, где отображается статистика успешных загрузок и запусков. Таким образом, установка P2P Zeus производилась следующим образом:
- жестко заданные серверы (ver 1 и 2);
- использование DGA для обращения к динамически создаваемым доменным именам (ver 2.1 или 2+);
- DGA и гибридная схема P2P, где боты связывались между собой и сервером (version 3 или Gameover Zeus).
Продолжение здесь.
Читайте также:
