Торпиг

Torpig , также известный как Anserin или Sinowal, — это тип ботнета, распространяемый через системы, скомпрометированные руткитом Mebroot , различными троянскими конями с целью сбора конфиденциальных личных и корпоративных данных, таких как информация о банковских счетах и ​​кредитных картах. Он нацелен на компьютеры, использующие Microsoft Windows , вербуя сеть зомби для ботнета. Torpig обходит антивирусное программное обеспечение с помощью технологии руткита и сканирует зараженную систему на предмет учетных данных, учетных записей и паролей, а также потенциально предоставляет злоумышленникам полный доступ к компьютеру. Он также предположительно способен изменять данные на компьютере и может выполнять атаки типа «человек в браузере» .

К ноябрю 2008 года было подсчитано, что Torpig украл данные около 500 000 счетов онлайн-банков , а также кредитных и дебетовых карт и был описан как «один из самых совершенных образцов преступного ПО, когда-либо созданных». ^[1]

Сообщается, что разработка Torpig началась в 2005 году, и с этого момента он эволюционировал, чтобы более эффективно избегать обнаружения хост-системой и антивирусным программным обеспечением. ^[2]

В начале 2009 года группа исследователей безопасности из Калифорнийского университета в Санта-Барбаре взяла под контроль ботнет на десять дней. За это время они извлекли беспрецедентный объем (более 70 ГБ ) украденных данных и перенаправили 1,2 миллиона IP-адресов на свой частный сервер управления и контроля. В отчете ^[3] подробно описывается, как работает ботнет. Во время десятидневного захвата ботнета исследовательской группой UCSB Torpig смог получить информацию для входа в 8310 учетных записей в 410 различных учреждениях и 1660 уникальных номеров кредитных и дебетовых карт жертв в США (49%), Италии (12%), Испании (8%) и 40 других странах, включая карты Visa (1056), MasterCard (447), American Express (81), Maestro (36) и Discover (24). ^[4]

Первоначально большая часть распространения Torpig была связана с фишинговыми письмами, которые обманом заставляли пользователей устанавливать вредоносное программное обеспечение. Более сложные методы доставки, разработанные с тех пор, используют вредоносные баннерные объявления , которые используют эксплойты, обнаруженные в устаревших версиях Java или Adobe Acrobat Reader , Flash Player , Shockwave Player . Этот тип загрузки Drive-by , этот метод обычно не требует от пользователя нажатия на рекламу, и загрузка может начаться без каких-либо видимых указаний после того, как вредоносное объявление распознает старую версию программного обеспечения и перенаправит браузер на сайт загрузки Torpig. Чтобы завершить установку в главную загрузочную запись (MBR) зараженного компьютера, троян перезагрузит компьютер. ^[2]

На основной стадии заражения вредоносная программа каждые двадцать минут загружает информацию с компьютера, включая финансовые данные, такие как номера кредитных карт и учетные данные банковских счетов, а также учетные записи электронной почты, пароли Windows, учетные данные FTP и учетные записи POP / SMTP . ^[4]

• Мейбрут
• Загрузка Drive-by
• Фишинг
• Человек-в-браузере
• Conficker — червь, который также использует генерацию доменных имен (или доменный поток)
• Хронология компьютерных вирусов и червей

• Взлом ботнета Torpig, IEEE Security & Privacy , январь/февраль 2011 г.

• Анализ UCSB
• Один троян Sinowal + одна банда = сотни тысяч скомпрометированных аккаунтов по данным исследовательской лаборатории RSA FraudAction, октябрь 2008 г.
• Не станьте жертвой Sinowal, супертрояна Вуди Леонарда, WindowsSecrets.com, ноябрь 2008 г.
• Антивирусные инструменты пытаются удалить Sinowal/Mebroot Вуди Леонхард, WindowsSecrets.com, ноябрь 2008 г.
• Torpig Botnet Hijacked and Dissected, опубликовано на Slashdot, май 2009 г.
• Как украсть ботнет и что может произойти, если вы это сделаете, Ричард А. Кеммерер, GoogleTechTalks, сентябрь 2009 г.