Накануне Нового года были взломаны независимый информационный сайт «Хартия-97» и сайт IT-новостей electroname.com. Неизвестные злоумышленники удалили часть контента обоих сайтов.

Как рассказывала по горячим следам редактор «Хартии-97» Наталья Радина, преступники получили доступ к административной части системы управления контентом, удалили часть материалов и опубликовали лживую статью о находящемся в заключении Андрее Санникове. Сервер и программная часть сайта взломаны не были. Злоумышленники воспользовались паролем к «админке», где публикуются новости, это не дает права менять скрипты и изменять настройки программной части и сервера.

Вероятно, пароль удалось перехватить с помощью «трояна» на одном из компьютеров работников сайта. Троянская сеть контролировалась с помощью нескольких ящиков электронной почты; удалось получить доступ к некоторым: boss.bigben@mail.ru и 123asqedws@mail.ru.

Злоумышленники использовали три вида вирусов: уже известный вирус RMS от TeknotIT, UFR Stealer — вирус, заражающий компьютер через флешку, и Keylogger Detective. Это так называемые «трояны для школьников». Их можно свободно купить в Рунете за 20-30 долларов.

Удалось установить и белорусский IP-адрес, который принадлежит владельцам вирусов и двух e-mail. Адрес сохранился в отправленных и тестовых письмах в обоих почтовых ящиках. Этот же самый адрес есть в логах нападения на charter97.org и electroname.com — 178.124.157.86. IP-адрес зафиксирован в логах e-mail и серверов под разными датами, т.е. адрес статичный и используется постоянно.



«Другими словами, заражение компьютеров, прослушка и атака на сайты выполнена одной и той же группой», — считают авторы публикации.

По результатам расследования атаки на сайты «Хартии-97» и electroname.com и выявления троянской сети сотрудники техподдержки ресурсов составили инструкцию по поиску и удалению используемых в этой сети вирусов:

I. KeyloggerDetective

Троянская программа, известная как Keylogger Detective, детектируется как modified Win32/PSW.Sycomp.G (NOD32), Trojan.MulDrop3.2380 (DrWeb), Trojan-Spy.Win32.Agent.btzs (Kaspersky), TrojanSpy:Win32/Keylogger.BK (Microsoft), SHeur3.CKGS (AVG), Trojan.ADH (Symantec), TrojanSpy.Agent.btzs (VBA32).

Файл имеет размер 87,312 байт. MD5: e740bf2a9539bf4fc4df88cf4e799bf2

При запуске создает директорию C:\Documents and Settings\<Пользователь>\Application Data\sysdata, куда копирует себя, и сохраняет в ней файлы с информацией о нажатых клавишах, активных окнах, кликах мыши и содержимом буфера обмена. Файлы с перехваченной информацией имеют вид sys.dat, 0sys.dat, 1sys.dat. Собранную информацию отправляет на указанный в программе почтовый ящик по мере её накопления.

Для автозапуска, при загрузке системы, использует ключ реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Run\yrrrrt2.

Для ручного удаления необходимо:

1. принудительно завершить процесс svssvc.exe (см. картинку);

2. удалить директорию
C:\Documents and Settings\<Пользователь>\Application Data\sysdata;

3. удалить ключ реестра
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\yrrrrt2

либо отключить автозапуск с помощью стандартной утилиты msconfig.exe (см. раздел Автозапуск, элемент svssvc).



После удаления программы рекомендуется сменить пароли от всех ресурсов, доступ к которым осуществлялся с зараженной системы.


II. UFR Stealer

Троянская программа, известная как UFR Stealer, детектируется как Trojan.PWS.UFR.11 (DrWeb), Generic23.FQT (AVG), Trojan-PSW.Win32.Ruftar.bsa (Kaspersky), Trojan:Win32/Anomaly (Microsoft), a variant of Win32/Spy.Usteal.A (NOD32), Trojan.Khil.23905 (VBA32)

Файл имеет размер 52,736 байт. MD5: 71f950f31c15023c549ef4b33c2bf1e0

При запуске собирает логины/пароли приложений, используемых в системе. Поддерживает кражу паролей от таких программ как Opera, Firefox, Chrome, Internet Explorer, QIP, MSN Messenger, ICQ, Mail.ru Agent, Pidgin, Google Talk, Miranda, The Bat!, FileZilla, Total Commander и др. Также собирает общую информацию о системе. Сохраняет собранную информацию в папку ufr_files в директории, где была запущена программа, и пытается передать собранные данные на указанный в теле программы почтовый ящик. После этого самоудаляется.

В системе не закрепляется, поэтому ручное удаление из системы не требуется. При обнаружении такого файла удалите его самостоятельно, не запуская.

Определить, была ли запущена у вас данная программа, можно по характерным следам, которые остаются в системе:

* Наличие папки ufr_files на вашем диске с файлами *.dat, *.bin, *.txt, *.ds;
* Наличие prefech-файла по пути:
C:\Windows\Prefetch\ABGREYD.EXE-*.pf.



После удаления программы рекомендуется сменить пароли от всех ресурсов, доступ к которым осуществлялся с зараженной системы.


III. RMS Trojan

Троянская программа, построенная на основе легальной программы для удаленного администрирования, известной как Remote Manipulator System (http://www.tektonit.ru). Компоненты, являющиеся легальным ПО, не детектируются антивирусными программами как вредонсоные файлы, однако инсталятор определяется как Worm.Autorun-8201 (ClamAV), Trojan.Generic.6178206 (GData), Backdoor.BAT.Agent.l (Kaspersky), Backdoor.BAT.Agent.l (VBA32).

Файл имеет размер 2,782,938 байт. MD5: 3299b4e65c7c1152140be319827d6e04

При запуске создает скрытую директорию C:\Windows\system32\catroot3, куда копирует различные компоненты программы удаленного управления, настраивает системный фаервол, создает скрытый файл C:\Windows\system32\de.exe. После этого запускает программу удаленного управления и самоудаляется из директории запуска.

Наличие в системе можно определить:

* по работающим процессам rutserv.exe или rfusclient.exe;

* по наличию скрытых директорий C:\Windows\system32\catroot3 и файла C:\Windows\system32\de.exe;

* по наличию сервиса с именем TektonIT - R-Server.

Управление осуществляется по собственному протоколу (на основе TCP), используя сервера компании Tekton-IT, предоставляемые на бесплатной основе.

Для быстрого ручного удаления можно воспользоваться деинсталятором, который, видимо, по ошибке атакующих, копируется в систему вместе с остальными компонентами вредоносного сервиса. Запуск C:\windows\system32\de.exe удалит записи из реестра, остановит работающий сервис и удалит все компоненты приложения, включая и сам файл de.exe.

После удаления программы рекомендуется сменить пароли от всех ресурсов, доступ к которым осуществлялся с зараженной системы, а также как можно раньше переустановить всю операционную систему, т.к. она могла быть заражена любыми другими вредоносными программами, которые загрузили с помощью текущей.