20:14 18.02.2010 GE Money Bank рассылает трояны | |
В почтовой рассылке, которую GE Money Bank (крупный банк, активно занимающийся в России потребительским кредитованием) посылает своим клиентам, вероятно, содержатся компьютерные вирусы. так один из постоянных читателей «Руформатора» поделился весьма интересной новостью. как заявил читатель: «Я являюсь клиентом ЗАО «Джи И Мани Банк» вот уже почти два года. Впервые за все это время я получил от них счет-выписку по своей кредитной карте по электронной почте в виде PDF-файла. Меня это сразу насторожило: почему почти два года банк ничего не присылал, а тут взял и прислал? Но я не придал этому большого значения и попытался открыть этот файл. С первого раза ничего не получилось. Со второго Adobe Reader (последняя версия) вылетел. В третий раз я открыл сначала сам Adobe Reader, а затем загрузил в него этот файл. Посмотрел выписку, закрыл и пошел спать. Компьютер на ночь я не выключаю, только монитор. И первое, что я увидел вчера утром, включив экран – сразу несколько предупреждений. Во-первых, моя комплексная система защиты ESET NOD32 Smart Security известила меня, что в ходе проверки были найдены и изолированы два известных ей вируса. 12/17/2010 1:02:46 PM Модуль сканирования файлов, исполняемых при запуске системы файл C:\WINDOWS\system32\hwks.oyo модифицированный Win32/Oficla.DH троянская программа очищен удалением (после следующего перезапуска) - изолирован 12/17/2010 8:37:16 AM Фильтр HTTP файл http://www.x554b9c1b.co.cc/x Win32/AutoRun.AEH червь соединение прервано - изолирован MSS\Администратор Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\WINDOWS\explorer.exe. Во-вторых, она же сообщила мне, что некий файл 2287.tmp запрашивает доступ в Интернет. Вообще, надо сказать, что я слегка сдвинут на безопасности, поэтому у меня установлены всевозможные программы, ее обеспечивающие. Для пущей безопасности я установил не автоматический, а интерактивный режим работы Nod, т.е. он спрашивает у меня подтверждения при попытке любой новой программы сделать что-то подозрительное, например, выйти в Интернет. Более того, одновременно я увидел запрос программы 2IP StartGuard (очень полезная и простая программка, которая дает вам возможность следить за тем, какие программы пытаются прописаться в автозагрузке, и в режиме реального времени позволяет это запретить или разрешить) о том, что некий файл 2287.tmp пытается прописаться в автозагрузке. Разумеется, я запретил этому странному файлу как прописываться, так и соединяться с интернетом, открыл Диспетчер Задач, увидел этот файл в оперативной памяти и быстро его выгрузил. Дальше начинается самое интересное – я просканировал его «Нодом» и онлайн-сканерами «Касперского» и «Доктора Веба». И вот только последний сообщил мне о том, что это известный ему троян, но, видимо, он настолько новый, что у двух других крупнейших производителей он еще не успел появиться в базе данных. Правда, когда я отправил на анализ этот файл в компанию ESET, меня буквально через несколько часов поблагодарили и сказали, что информация о нем будет включена в ближайшую базу обновлений, то есть сегодня. В том, что файл пришел напрямую из этого банка у меня нет никаких сомнений: там были указаны мои персональные данные – адрес, номер счета и т.д. То, что вирусы были именно там – также бесспорно, потому как само ничего ночью запуститься не могло и больше никаких новых файлов я не открывал и не загружал». Таким образом, по информации читателя, из GE Money Bank Russia рассылаются зараженные PDF-файлы, которые, используя уязвимость в Adobe Reader, устанавливают на компьютер пользователя три трояна, причем последний – свежий. Официальных комментариев банка на момент публикации статьи получить не удалось. | |
|
Всего комментариев: 0 | |