Описание вредоносного ПО

В Германии разослан спамом новый Trojan-PSW

Сегодня ночью мы выпустили срочное обновление баз, содержащее процедуры детектирования и удаления Trojan-PSW.Win32.Sinowal.u.

Семейство троянцев Sinowal предназначено для кражи логинов и паролей пользователей, вводимых в формы в интернет-браузере. Троянец «заточен» под некоторые банковские домены и обладает способностью воровать пароли, сохраненные на компьютере пользователя.

Особенностью Sinowal является умение дописывать в открываемые пользователем страницы банковских сайтов собственный HTML-код. Это позволяет троянцу при посещении пользователем банковских сайтов выводить особое всплывающее окно, в котором предлагается ввести персональную информацию.Как правило, разновидности Sinowal проникают на компьютер посредством троянских загрузчиков, попадающих в систему при посещении сайтов, на которых содержатся эксплойты уязвимостей в интернет-браузерах и операционных системах.

Но в этот раз злоумышленники решили опробовать новые пути и разослали на электронные адреса в домене .de спам, который притворяется письмом от Microsoft Windows Update.

Письмо выглядит следующим образом:

From: MS Windows Update [msrobot_donotreply|trickthespider|windowsupdate.com]

Subject: Achtung! Wichtige Nachrichten von Microsoft Windows Update!

Achtung! Wichtige Nachrichten von Microsoft Windows Update!

Sehr geehrte Benutzer Microsoft Windows XP!

Gestern haben unbekannte Hacker den neuen Wurm-Virus eingesetzt. Nachdem er ins system reingreift, wird er von sich selbst nach Ihrer mailadressenliste
ausgesendet, und alle Ihren Kontakte werden angesteckt. Nach der Ansteckung
fangt das System instabil zu arbeiten, und der Komputer «hangt» genau nach
einer Minute nach dem nachsten Hochfahren.

Um die Benutzer des Systems Microsoft Windows XP zu schutzen, haben unsere
Sicherheitsspezialisten eine Erneuerung fur das System entwickelt.

Sie sollen die an den E-Mail angehangte Datei offnen damit das System erneut
wird und vollstandig von neuem Wurm geschutzt wird.

Mit freundlichen Gru?en,

Windows Update

Примерный перевод:

Внимание! Важное сообщение от Microsoft Windows Update!

Уважаемый пользователь Microsoft Windows XP!

Вчера неизвестные хакеры распространили новый вирус-червь. Если ваша система им заразится, то он начнет распространяться по записям адресной книги и заразит все ваши контакты. После заражения операционная система будет работать нестабильно и зависнет примерно через одну минуту после загрузки.

Для защиты пользователей Microsoft Windows XP наши специалисты по безопасности разработали специальное обновление.

Для защиты от нового червя вам следует запустить приложенный к этому письму файл.

Как все вы, надеемся, знаете, Microsoft никогда не рассылает никаких исполняемых файлов в своих письмах. Поэтому (теоретически) подобные попытки социального инжиниринга обнаруживаются с легкостью.

Но если вы все же заразились Sinowal, то не забудьте сменить все свои пароли после того, как удалите троянец из своей операционной системы.

В Германии разослан спамом новый Trojan-PSW

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике