НАПАСТИ

Злоумышленники использовали как минимум два новых варианта "троянских коней"

    

Борцы со шпионским ПО обнаружили крупную организацию, занимающуюся хищениями путем подмены регистрационных данных пользователей. Эксперты по безопасности предупреждают компании об угрозе со стороны нового поколения троянов, считывающих информацию из компьютеров с ОС Windows.

ФБР и Секретная служба расследуют деятельность организации, обнаруженной недавно сотрудником компании Sunbelt Software, которая выпускает антишпионское ПО. Предполагается, что жертвами преступников стали тысячи компьютеров, принадлежащих как частным лицам, так и организациям, сообщил Эрик Сайтс, вице-президент Sunbelt по исследованиям и разработкам. Используя троянов, мошенники собирали информацию на системах под управлением Windows и передавали ее на контролируемые ими серверы.

Исследователь наткнулся на организацию мошенников, когда изучал такую опасную форму шпионского ПО, как Cool Web Search, сказал Сайтс. Этот исследователь - Патрик Джордан, эксперт по Cool Web Search. Он анализировал вредоносные программы, загруженные с порнографического веб-сайта, который, как уже известно, распространяет шпионское ПО Cool Web Search, сообщил Сайтс.

Джордан заметил, что изучаемый им сайт является рассадником новой программы типа "троянский конь", которая связывается с удаленным сервером на территории США. Установив местонахождение этого сервера и изучая его содержимое, Джордан обнаружил текстовые файлы с информацией о тысячах жертв, включая сведения о банковских счетах нескольких компаний. Сообщение об этом факте разместил в Интернете президент Sunbelt Алекс Эклбери.

Как защитить корпоративные данные

Обнаруженная исследователем из Sunbelt Software организация мошенников, использовавших подмену идентификационных сведений, заставляет обратить внимание на сокровища в виде данных, которые могут храниться даже на заурядных корпоративных ПК и которые можно извлечь и в том случае, если компьютеры подверглись взлому.

Для предотвращения утечки ваших корпоративных данных эксперты рекомендуют предпринять следующие шаги.

Во-первых, всегда используйте самые свежие исправления для программ и ОС, чтобы заткнуть все известные дыры в системе безопасности. Атакующие пользуются прорехами в защите, чтобы незаметно устанавливать ПО на уязвимые компьютеры.

Во-вторых, применяйте групповую политику для отключения используемых по умолчанию установок браузера вроде AutoComplete в Internet Explorer. Такие настройки позволяют хранить адреса веб-страниц и различную не подлежащую разглашению информацию. Например, имена пользователей и пароли, используемые при подключении к безопасным веб-сайтам.

В-третьих, сотрите все формы и пароли, сохраненные в кэше вашего компьютера. В Internet Explorer используйте для этого настройки AutoComplete.

В-четвертых, рекомендуется установить на персональном компьютере брандмауэр, который будет осуществлять мониторинг входящих и исходящих потоков данных. Компания Sygate Technologies предлагает бесплатный брандмауэр для настольных систем, который решает эту задачу. Смотрите дополнительную информацию на сайте http://smb.sygate.com/download_buy.htm.

Наконец, изучите все работающие в вашей сети приложения, которые используют порт 80 (такие, как Internet Explorer). А затем запретите передавать данные через этот порт любым приложениям, кроме получивших ваше разрешение.

     Пол Робертс

Вероятно, компьютеры были взломаны в результате так называемой сопутствующей загрузки кода при посещении вредоносных веб-сайтов. Атакующие использовали известные уязвимости браузера Internet Explorer или иного ПО, чтобы незаметно установить троянов и другие программы. Среди них, по словам Сайтса, была и такая, которая превращала взломанные компьютеры в центры распространения спама.

Установлено, что для мошенничества путем подмены идентификационных данных пользователей применялись по крайней мере два новых варианта троянской программы. Однако Sunbelt отказалась сообщить, о каких именно программах идет речь или с какого сайта распространялись трояны, сославшись на то, что расследование еще не завершено.

Основная часть похищенных данных хранилась на взломанных компьютерах с использованием Protected Storage - стандартной возможности Windows для защиты сведений личного характера (имен и паролей пользователей, принадлежности к определенному сегменту сети и данных для заполнения форм на защищенных веб-сайтах). Задействованные в ходе атаки троянские кони были запрограммированы на сбор информации, хранящейся в Protected Storage, и поиск конфиденциальных сведений вроде номера банковского счета или данных о кредитной карте. Эта информация передавалась атакующим, сообщил Сайтс.

Данные постоянно обновлялись с помощью аналогичных программ, запускаемых на тысячах взломанных компьютеров по всему миру, и периодически загружались на компьютеры мошенников.

Одной из их жертв стал Ник Фелпс (Тампа, шт. Флорида). Фелпс изучает использование компьютерных технологий правоохранительными органами. Он сообщил, что его рабочий компьютер был взломан мошенниками. Они получили доступ к данным о сеансах выхода в Интернет, которые сохраняет Internet Explorer.

Фелпс не знает, каким путем была заражена его машина. Однако, по его словам, она служила для проведения исследований и на ней не были установлены последние исправления ПО.

"Мы сталкиваемся со множеством подобных случаев. Я был удивлен лишь тем, что мошенники наткнулись на интересующие их данные в столь людном месте", - заявил Фелпс.