Clampi (троян)
Троян «человек в браузере»

Clampi (также известный как Ligats, Ilomo или Rscan ) [1] — это штамм компьютерного вредоносного ПО , который заражает компьютеры Windows . А именно, как банковский троян типа «человек в браузере», предназначенный для передачи финансовой и личной информации со взломанного компьютера третьей стороне для потенциальной финансовой выгоды, а также для предоставления отчетов о конфигурации компьютера, связи с центральным сервером и выполнения функций загрузчика для других вредоносных программ. [2] Clampi впервые был обнаружен в 2007 году, поражая компьютеры под управлением операционной системы Microsoft Windows . [3]

Clampi отслеживал более 4000 URL-адресов веб-сайтов , эффективно собирая учетные данные и информацию о пользователях не только для банковских и кредитных сайтов, но также сообщал о коммунальных услугах, фирмах по исследованию рынка, онлайн-казино и сайтах по трудоустройству. [4] На пике своей популярности осенью 2009 года специалист по компьютерной безопасности заявил, что это была одна из крупнейших и наиболее профессиональных воровских операций в Интернете, вероятно, организованная российским или восточноевропейским синдикатом. [5] Ложные положительные отчеты о Clampi также часто используются мошенниками из технической поддержки , чтобы заставить людей отправить им деньги за удаление поддельных компьютерных вирусов. [6] [7]

Подробный анализ

Аналитик по компьютерной безопасности Николас Фальер заявил, что «немногие угрозы заставляли нас чесать голову, как Trojan.Clampi». Это был первый троян, который, как было обнаружено, использовал виртуальную машину под названием VMProtect для сокрытия своего набора инструкций . [8] Он заметил, что использование виртуальной машины добавляло недели ко времени, необходимому программистам для разборки и описания угрозы и механизма действия. [2] Он обнаружил, что он регистрировал и передавал личную финансовую информацию со взломанного компьютера третьей стороне для потенциальной финансовой выгоды, а также сообщал о конфигурации компьютера, связывался с центральным сервером, эксплуатировал Internet Explorer 8 , настраивал прокси-сервер SOCKS и выступал в качестве загрузчика для других вредоносных программ. Вирус был достаточно сложным, чтобы скрываться за брандмауэрами и оставаться незамеченным в течение длительного времени. [9] Список из около 4800 URL-адресов был закодирован с помощью CRC (аналогично хешированию). Это была атака по словарю на список распространенных URL-адресов в сентябре 2009 года для создания частичного списка известных сайтов с некоторым дублированием и неоднозначностью. [2] Исходный код никогда не распространялся и не продавался в Интернете.

Именованные модули

Список компонентов, обнаруженных при расшифровке исполняемого файла в 2009 году: [2]

  1. SOCKS — настраивает прокси-сервер SOCKS, который злоумышленники могут использовать для входа в ваш банк через ваше рабочее/домашнее интернет-подключение.
  2. PROT – крадет сохраненные пароли из PSTORE (защищенное хранилище для Internet Explorer )
  3. LOGGER – пытается украсть учетные данные в Интернете, если URL-адрес есть в списке.
  4. LOGGEREXT – помогает в краже учетных данных для веб-сайтов с повышенной безопасностью, например HTTPS.
  5. SPREAD – Распространяет Clampi на компьютеры в сети с общими каталогами.
  6. УЧЕТНЫЕ ЗАПИСИ – крадет локально сохраненные учетные данные для различных приложений, таких как клиенты мгновенного обмена сообщениями и FTP .
  7. ИНФОРМАЦИЯ – собирает и отправляет общую информацию о системе.
  8. KERNAL – восьмой модуль называет себя Kernal при работе внутри защищенного виртуального устройства .

Смотрите также

Ссылки

  1. ^ Хоровиц, Майкл (29 июля 2009 г.). «Защита от трояна Clampi». Computerworld .
  2. ^ abcd "Inside the Jaws of Trojan.Clampi – Symantec Enterprise". Библиотека Broadcom Endpoint Protection . Архивировано из оригинала 2021-01-03 . Получено 2020-06-02 .
  3. ^ Элинор Миллс (29.07.2009). «Троян Clampi крадет данные онлайн-банкинга у потребителей и предприятий». CNET. Архивировано из оригинала 29.06.2018 . Получено 18.07.2020 .
  4. ^ Эллен Мессмер (29.07.2009). "Clampi Trojan раскрыт как ботнет-монстр, занимающийся финансовым разграблением". Network World . Архивировано из оригинала 02.08.2009.
  5. ^ Брайан Кребс (2009-09-11). «Уничтожение трояна „Clampi“». The Washington Post . Архивировано из оригинала 2016-09-26 . Получено 2016-06-21 .
  6. ^ Команда Касперского. "Что такое вирус Clampi?". Касперский . Архивировано из оригинала 2020-02-04 . Получено 2020-07-18 .
  7. ^ Dreama Jensen (2016-12-16). «Защитите себя от компьютерных вирусов и мошенников». South Bend Tribune . Архивировано из оригинала 2020-05-28.
  8. ^ "VMAttack | Труды 12-й Международной конференции по доступности, надежности и безопасности". doi :10.1145/3098954.3098995. S2CID  7759690. {{cite journal}}: Цитировать журнал требует |journal=( помощь )
  9. ^ "Что такое вирус Clampi?". usa.kaspersky.com . 2017-11-02. Архивировано из оригинала 2020-02-04 . Получено 2020-06-02 .
  • Вирус Клэмпи атакует финансовые счета компаний – ABC News
  • Массовый ботнет, крадущий финансовую информацию – PC World
  • Внутри пасти Trojan.Clampi – технический документ Symantec Security (архив)
Получено с "https://en.wikipedia.org/w/index.php?title=Clampi_(троян)&oldid=1255414812"