Нажмите CTRL-D чтобы добавить нас в закладки
HackZone.RU - Банковский троян Cridex/Dapato распространяется через WordPress-сайты Актуальные базы 2GIS в форматах CSV,Excel,SQL
Войти / Регистрация / Участники
Определение даты выпуска iPhone по серийному номеру
-
Поиск по сайту
Форумы



Реклама

Поиск ТОП Добавить публикацию

Банковский троян Cridex/Dapato распространяется через WordPress-сайты

26.03.2012

В конце января специалисты по безопасности из M86 Security Labs обнаружили массовое заражение сотен сайтов на движке WordPress 3.2.1. Тогда сообщалось, что используя известную уязвимость устаревшей версии WordPress и уже опубликованные эксплойты для него, злоумышленники внедряют жертве в папку Uploads файл HTML с редиректом на страницу с набором эксплоитов Phoenix Exploit Kit. Злоумышленники используют их просто в качестве красивых URL, чтобы ссылка вызывала доверие у жертв (и чтобы проще обойти спам-фильтры), и рассылают спам, содержащий ссылку на вышеупомянутую страницу.

Сейчас появилась дополнительная информация по поводу этой атаки. Оказывается, после успешного выполнения эксплойта на компьютер жертвы устанавливается троянская программа Cridex (известна также под названиями Carberp и Dapato). Это довольно известный банковский троян, который умеет подделывать веб-формы для 137 (!) банков разных стран. Что характерно, он детектируется далеко не всеми антивирусными программами. Согласно исследованию M86 Security Labs, только 10 из 47 протестированных антивирусов способны его обнаружить. Например, «Касперский» распознаёт его как Trojan-Dropper.Win32.Dapato.afae.

О механизме работы Cridex рассказывалось и раньше. Добавим только, что управление клиентской части программы осуществляется через сеть Fast-flux, так что трафик к командным C%C-серверам может выглядеть примерно так.



Генерация доменных имён происходит по специальному алгоритму.

ECX = ECX * 0x19660D
ECX = ECX + 0x3C6EF35F
ECX = ECX << 0×10
ECX = ECX – 0x7FFF
EAX = ECX
EDX = 0
EAX = EAX XOR 0×88
EBP = 0x1A
EAX = EAX / 0x1A
EDX = EAX % 0x1A
ESI++
EDX = EDX + 0×61
Address[EBX + ESI] = DX

Как только находится живой прокси, троян скачивает кастомную конфигурацию из ботнета Cridex. Его функциональность примерно такая же, как у Zeus и SpyEye: сбор приватной информации, логинов и паролей — и отправка на удалённый сервер.

Однако, Cridex специализируется именно на финансовых транзакциях — в мире ботнетов это своеобразный банковский центр с базой данных на 137 банков и финансовых учреждений мира. За этот функционал отвечает плагин "WORLD BANK CENTER", изображённый на скриншотах внизу (кликабельны).






При копировании материалов ссылка на HackZone.RU обязательна

Добавить страницу в закладки

 Детали
Категория: Вирусы
Опубликовал: exe5111
Просмотров: 4868
Проголосовало через SMS: 0
  Разместить у себя на сайте
Прямая ссылка
HTML
BBCode ссылка
BBCode ссылка с текстом

 Комментарии (оставить свой комментарий можно здесь)
Только зарегистрированные пользователи могут оставлять комментарии

Зарегистрироваться *** Авторизоваться


 Последние новости и статьи  Последние сообщения с форумов
  • Самозащита от вируса Petya
  • Google Pixel взломали за 60 секунд
  • В CMS Joomla обнаружена критическая 0-day уязвимость
  • ФБР не смогло взломать протокол шифрования переписки террористов ...
  • Полиция обыскала дом предполагаемого создателя платежной системы ...
  • Google: квантовый ПК будет в 100 млн раз быстрее стандартных чипо...
  • "Лаборатория Касперского" констатирует усиление атак кибергруппир...
  • Microsoft Edge откроет исходные коды ChakraCore
  • Anonymous объявили 11 декабря «днём троллинга» ИГИЛ
  • Миллионы телевизоров, смартфонов и маршрутизаторов оказались уязв...

    Все новости... Все статьи... Прислать новость RSS
  • Интернет / Разное » SOCKS 4/5, HTTPS прокси сервис - proxybuy
  • Программирование / WEB Design » Уроки по JavaScript для начинающих
  • Разное / Ищу работу » Re: Прогон 7ым XRumerоm по форумам, блогам, гостевым. ru и e...
  • Разное / Ищу работу » Re: взлом почты на майле
  • Разное / Предложения работы » Нужен способ заработка, майнинга
  • Разное / Ищу работу » Re: Качественный подбор паролей к почтам. Работаем с 2011 го...
  • Разное / Ищу работу » Re: Взлом страниц: ВКонтакте, Одноклассники.
  • Разное / Ищу работу » Re: -=Мощный DDoS service/ДДоС сервис=-
  • Разное / Ищу работу » Re: Взлом почты mail.ru, yandex.ru, rambler, gmail
  • Разное / Ищу работу » Re: Качественный подбор паролей к почтам. Работаем с 2011 го...

    Все форумы... RSS


  • Разместить рекламу
    © HackZone Ltd. 2007-2012. Все права зарегистрированы.
    Перепечатка материалов без согласования и указания источника будет преследоваться по Закону

    О проекте | История проекта | Размещение рекламы | Обратная связь | Правила поведения на портале
    Ya-Cyt службы мониторинга серверов

    #{title}

    #{text}

    x

    #{title}

    #{text}