Элементарная кіберзброя беларускага КДБ?
Расследаванне пераднавагодніх узломаў charter97.org і electroname.com дало ашаламляльны вынік.
Адміністратары сайтаў выявілі, што пад сакрэтным кантролем беларускіх спецслужбаў доўгі час знаходзіліся камп’ютары, а таксама асабістая перапіска праз Skype, электронную пошту і сацыяльныя сеткі не толькі некаторых супрацоўнікаў рэдакцыі Хартыі (камп’ютаркантэнт-адміністратара , які мае доступ толькі да адміністрацыйнай панэлі сайта), але і шэрагу іншых вядомых журналістаў, палітыкаў, грамадскіх дзеячаў.
Траянская сетка, сцвярджае electroname.com, кантралявалася з дапамогай некалькіх скрынь электроннай пошты. Удалося атрымаць доступ да некаторых: [email protected] і [email protected].
Аналіз дасланых вірусамі логаў актыўнасці заражаных кампутараў дазваляе сцвярджаць, што спецслужбы праслухоўвалі рэдакцыю «Хартыі», Ірыну Халіп, Марыну Коктыш, Сяргея Вазняка, Паўла Марыніча, Алену Новікаву, Віктара Радзькова і многіх іншых людзей. Рабіліся спробы заражэння камп’ютараў Беларускай асацыяцыі журналістаў, адваката Алеся Бяляцкага Змітра Лаеўскага, каардынатара «маўклівых» акцый пратэсту Вячаслава Дзіянава. Ці былі тыя спробы паспяховымі — невядома.
Сетка працавала як мінімум з ліпеня 2011 года.Менавіта тады ўпершыню было задакументавана заражэнне аднаго з камп’ютараў. Былі выкрадзеныя паролі ад Skype (гэта дазваляе ўключыць Skype на іншым камп’ютары і паралельна чытаць ўсю перапіску карыстальніка), сацыяльных сетак,
Зламыснікі выкарысталі тры віды вірусаў: ужо вядомы «вірус КДБ», ці RMS ад TeknotIT, UFR Stealer — вірус, які заражае камп'ютар праз флэшку, і Keylogger Detective.Гэта так званыя «траяны для школьнікаў». Іх можна вольна купіць у Рунэце за 20–30 даляраў.
Удалося вызначыць і беларускі
Іншымі словамі, заражэнне камп’ютараў, праслухоўванне і атака на сайты выканана адной і той жа групай.
Варта нагадаць, што актывіста Маўклівых Апладысментаў Максіма Чарняўскага КДБ спрабавала завербаваць, каб ён усталяваў на камп’ютар Вячаслава Дыянава менавіта «вірус» RMS ад TeknotIT.
Прапануем інструкцыю для пошуку і выдалення вірусаў:I. KeyloggerDetective
Траянская праграма, вядомая як Keylogger Detective, дэтэктуецца як «modified Win32/PSW.Sycomp. G» (NOD32), «Trojan. MulDrop3.2380» (DrWeb),
Файл мае памер 87,312 байт. MD5: e740bf2a9539bf4fc4df88cf4e799bf2
Пры запуску стварае дырэкторыю «C: \ Documents and Settings \ \ Application Data \ sysdata», куды капіюе сябе, і захоўвае ў ёй файлы з інфармацыяй аб націснутых клавішах, актыўных вокнах, кліках мышкі і змесціве буферу абмену. Файлы з перацягнутай інфармацыяй маюць выгляд sys.dat, 0sys.dat, 1sys.dat. Сабраную інфармацыю адпраўляе на паказаную ў праграме паштовую скрыню па меры яе назапашвання.
Для аўтазапуску, пры загрузцы сістэмы, выкарыстоўвае ключ рэестра
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ yrrrrt2.
Для ручнога выдалення неабходна:
1. прымусова завяршыць працэс svssvc.exe (гл. малюнак);
2. выдаліць дырэкторыю
«C: \ Documents and Settings \ \ Application Data \ sysdata»;
3. выдаліць ключ рэестра
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ yrrrrt2
альбо адключыць аўтазапуск з дапамогай стандартнай ўтыліты msconfig.exe (см профіль Аўтазапуск, элемент svssvc).
Пасля выдалення праграмы рэкамендуецца змяніць паролі ад усіх рэсурсаў, доступ да якіх ажыццяўляўся з заражанай сістэмы.
II. UFR Stealer
Траянская праграма, вядомая як UFR Stealer, дэтэктуецца як «Trojan. PWS.UFR.11» (DrWeb), «Generic23.FQT» (AVG), «
Файл мае памер 52,736 байт. MD5: 71f950f31c15023c549ef4b33c2bf1e0
Пры запуску збірае лагіны / паролі прыкладак, якія выкарыстоўваюцца ў сістэме. Падтрымлівае крадзеж пароляў ад такіх праграм, як Opera, Firefox, Chrome, Internet Explorer, QIP, MSN Messenger, ICQ, Mail.ru Agent, Pidgin, Google Talk, Miranda, The Bat!, FileZilla, Total Commander і інш Таксама збірае агульную інфармацыю аб сістэме. Захоўвае сабраную інфармацыю ў тэчку ufr_files, у дырэкторыі, дзе была запушчана праграма і спрабуе перадаць сабраныя дадзеныя на паказаную ў целе праграмы паштовую скрыню. Пасля гэтага самавыдаляецца.
У сістэме не замацоўваецца, таму ручное выдаленне з сістэмы не патрабуецца. Пры выяўленні такога файла выдаліце яго самастойна, не запускаючы.
Вызначыць, ці была запушчана ў вас дадзеная праграма, можна па характэрных слядах, якія застаюцца ў сістэме:
* Наяўнасць тэчкі ufr_files на вашым дыску з файламі *. dat, *. bin, *. txt, *. ds;
* Наяўнасць
C: \ Windows \ Prefetch \ ABGREYD.EXE-*. pf.
Пасля выдалення праграмы рэкамендуецца змяніць паролі ад усіх рэсурсаў, доступ да якіх ажыццяўляўся з заражанай сістэмы.
III. RMS Trojan
Траянская праграма, пабудаваная на аснове легальнай праграмы для выдаленага адміністравання, вядомай як Remote Manipulator System (http://www.tektonit.ru). Кампаненты, якія з’яўляюцца легальным ПА, не дэтэктуюцца антывіруснымі праграмамі як шкодніцкія файлы, аднак інсталятар вызначаецца як «Worm.
Файл мае памер 2,782,938 байт. MD5: 3299b4e65c7c1152140be319827d6e04
Пры запуску стварае схаваную дырэкторыю C: \ Windows \ system32 \ catroot3, куды капіюе розныя кампаненты праграмы выдаленага кіравання, настройвае сістэмны фаервол, стварае схаваны файл C: \ Windows \ system32 \ de.exe. Пасля гэтага запускае праграму выдаленага кіравання і самавыдаляецца з дырэкторыі запуску.
Наяўнасць у сістэме можна вызначыць:
* Па працуючых працэсах rutserv.exe або rfusclient.exe;
* Па наяўнасці утоеных дырэкторый C: \ Windows \ system32 \ catroot3 і файла C: \ Windows \ system32 \ de.exe;
* Па наяўнасці сэрвісу з імем «TektonIT —
Кіраванне ажыццяўляецца па ўласным пратаколе (на аснове TCP), выкарыстоўваючы серверы кампаніі
Для хуткага ручнога выдалення можна скарыстацца дэінсталятарам, які, мабыць, па памылцы, капіюецца ў сістэму разам з астатнімі кампанентамі шкадлівага сэрвісу. Запуск C: \ windows \ system32 \ de.exe выдаліць запісы з рэестра, спыніць працуючы сэрвіс і выдаліць усе кампаненты прыкладкі, у тым ліку і сам файл de.exe.
