Антивирус «DrWeb» докладывает о широком распространении программы-трояна Trojan.PWS.Multi.201, сделанного для фишинга паролей пользователей и ЭЦП (электронная цифровая подпись)-ключ к аккаунтам дистанционного банковского обслуживания (ДБО), принадлежащим в основном фирмам и компаниям. Для того что бы украсть пароль троян использует особенности и виды различных настроек систем дистанционного банковского обслуживания Интернет Банк Клиент и другие различные Российские платёжные электронные системы.
Специалисты фирмы «DrWeb» подробно исследовали программу троян под названием Trojan.PWS.Multi.201 — он оказался достаточно многообразен. Сначала предполагали, что в криптопро вирус или троян, но позже выяснилась иная картина. Первое, мошенники могут управлять зараженными компьютерами удалённо через эту прогу, давая команду скачать с вредоносного сайта и запустить какое-либо дополнительное ПО или «обновления» для того же трояна. Второе, вредоносная программа имеет возможность уничтожать загрузочную область на жёстком диске «донора» и таблицы разделов жесткого диска компьютера. Скорее всего, это нужно для того, чтобы скрыть следы после того, как злоумышленникам будут отправлены файлы ключей и пароли удаленного доступа к банковскому счету жертвы. При этом все действия — от установки в систему до отправки паролей — троянец производит в фоновом режиме, никак не обнаруживая свое присутствие у вас на компьютере. Благодаря багам в программе Криптопро вирь может спокойно работать с Вашими деньгами.
Самое главное, что во время транзакции на компьютере и запуска программы Интернет Банк-Клиент Trojan.PWS.Multi.201 «сканирует» открытые окна, заголовок которых содержит буквосочетание «КриптоПро» или «Банк-Клиент», и имеет возможность отправить введенные в форму данные третьим лицам, подменив их на свои уже заполненные от Клиента. Эта возможность ставит под вопрос безопасность использования многих электронных систем ДБО Российских Банков. В дополнение к этому троян имеет возможность считывать и отправлять злоумышленникам информацию, которая вводится с помощью некоторых популярных «виртуальных клавиатур» через JavaScript, которые есть и используются как раз для того, чтобы программы-шпионы не смогли получить и передать злоумышленникам приватные данные при вводе и сканирования нажатия клавиш на компьютере или терминале.
Trojan.PWS.Multi.201 получил распространение с начала ноября 2010 года. С этого момента сервер статистики компании «DrWeb» каждый раз фиксирует несколько сотен соединений с этой вредоносной программой. Такие относительно небольшие, но достаточно стабильные цифры объясняются тем, что целевая аудитория программы достаточно мала, т.к. это фирмы с определённо-установленным банковским софтом.
Сохранять денежные средства компаний Банки могут только в пределах своих офисов, не распространяя ответственности на заражённые компьютеры Клиентов, которые могут заразиться вирусом. За соблюдением достаточного уровня информационной безопасности своих компьютеров обязаны следить сами Клиенты по договору. Таким образом, за возможную утечку паролей к банковским счетам фирм отвечают сами пользователи Интернет-Банка.
Фирма «DrWeb» обращает внимание пользователей Российского Интернет-Банкинга к осторожности. Во-первых, не рекомендуется проводить удаленные операции по счетам, на которых находятся большие суммы электронных денег. Во-вторых, на компьютере должны быть установлены актуальные обновления безопасности для операционной системы и для другого ПО, а также полнофункциональный и своевременно обновляющийся антивирус.
По новостям компании «Доктор Веб»
www.drweb.com
Попытки подломить ИБК были давно, но взлом полагаю произошёл изнутри! Вы посмотрите как КОРЯВО написана админка (на древних и простых аплетах от Java — да и только $_session https-протокола все «удерживается» и то «на соплях») для пользователя «КриптоПро» это жесть. Банальная атака XXS прокатывает на раз два. Думаю, что дело пойдёт дальше, когда за него взялись оголодавшие после кризиса специалисты в области Интернет. КРИПТОПРО — самый поганый Интернет софт который я когда либо видел! Древность ИМХО.
Полностью с вами согласен, т.к. сам работал в одном из Московских Банках! Есть косяки… с ПО.
Полностью согласен с топикстартером. В КриптоПро есть реальные глюки и баги. То дискетку нужно пихать каждый раз, что бы программу запустить. А бывает и очень часто что КриптоПро блокирует другие офисные программы, и пока там какие-то настройки в реестре нее поменяешь — ничего работать не будет. Вот на этих глюках и основан наверно этот вирус. Вообще жесть. Там у них в поддержке (только умалчивается чего) есть сотруденик Татьяна — она на форумах отвечает на ихних. Похоже она и софт дорабатывает и на форумах, и щи варит и в избу входит горящую. Ай да фирма! Как говорил О.Бендер — «Фирма веников не вяжет!» 🙂
А ведь не так давно Криптопро считалась «нумбер ван» в России, почему-то другие не взламывают, значит ТАМ кого-то сильно обидели, например программиста — вот он и написал трояна!