Закрыть

Выберите город

Закрыть

КГБ захватил компьютеры политиков и журналистов

КГБ захватил компьютеры политиков и журналистов

Расследование предновогодних взломов charter97.org и electroname.com дало ошеломительный результат.

Оказалось, под негласным контролем белорусских спецслужб длительное время находились компьютеры, а также личная переписка через Skype, электронную почту и социальные сети, не только некоторых работников хартийской редакции (компьютер контент-администратора, имеющего доступ только к административной панели сайта Хартии), но и известных белорусских журналистов, политиков, общественных деятелей, активистов.

Троянская сеть контролировалась с помощью нескольких ящиков электронной почты; удалось получить доступ к некоторым: boss.bigben@mail.ru и 123asqedws@mail.ru.

КГБ захватил компьютеры политиков и журналистов

Анализ присланных вирусами логов активности зараженных компьютеров позволяет утверждать, что спецслужбы незаконно прослушивали редакцию Хартии, Ирину Халип, Марину Коктыш, Сергея Возняка, Павла Маринича, Елену Новикову, Виктора Радькова и многих других людей. Предпринимались попытки заражения компьютеров Белорусской ассоциации журналистов, Дмитрия Лоевского, адвоката Алеся Беляцкого, Вячеслава Дианова, координатора "молчаливых" акций протеста. Были ли попытки успешными - неизвестно.

Сеть работала как минимум с июля 2011 года. Именно тогда установлено первое задокументированное заражение одного из компьютеров. Были украдены пароли от Skype (это позволяет включить Skype на другом компьютере и параллельно читать всю переписку пользователя), социальных сетей, e-mail и даже пароли доступа к интернет-провайдеру, записывалась картинка десктопа с действиями пользователя, копирование в буфер обмена, набор текста в текстовых редакторах, мессенджерах.

Злоумышленники использовали три вида вирусов: уже известный вирус КГБ или RMS от TeknotIT, UFR Stealer - вирус, заражающий компьютер через флешку, и Keylogger Detective. Это так называемые "трояны для школьников". Их можно свободно купить в Рунете за 20-30 долларов.

Удалось установить и белорусский IP-адрес, который принадлежит владельцам вирусов и двух e-mail. Адрес сохранился в отправленных и тестовых письмах в обоих почтовых ящиках. Этот же самый адрес есть в логах нападения на charter97.org и electroname.com - 178.124.157.86. IP-адрес зафиксирован в логах e-mail и серверов под разными датами, т.е. адрес статичный и используется постоянно.

КГБ захватил компьютеры политиков и журналистов

Другими словами, заражение компьютеров, прослушка и атака на сайты выполнена одной и той же группой.

Судя по тому, что Максим Чернявский, завербованный куратором Димой из КГБ, также получил задание установить "вирус" RMS от TeknotIT на компьютер Вячеслава Дианова, можно предположить - эта группа киберпреступников из КГБ.

Предлагаем инструкцию по поиску и удалению вирусов:

I. KeyloggerDetective

Троянская программа, известная как Keylogger Detective, детектируется как "modified Win32/PSW.Sycomp.G" (NOD32), "Trojan.MulDrop3.2380" (DrWeb), "Trojan-Spy.Win32.Agent.btzs" (Kaspersky), "TrojanSpy:Win32/Keylogger.BK" (Microsoft), "SHeur3.CKGS" (AVG), "Trojan.ADH" (Symantec), "TrojanSpy.Agent.btzs" (VBA32).

Файл имеет размер 87,312 байт. MD5: e740bf2a9539bf4fc4df88cf4e799bf2

При запуске создаёт директорию "C:Documents and SettingsApplication Datasysdata", куда копирует себя, и сохраняет в ней файлы с информацией о нажатых клавишах, активных окнах, кликах мыши и содержимом буфера обмена. Файлы, с перехваченной информацией, имеют вид sys.dat, 0sys.dat, 1sys.dat. Собранную информацию отправляет на указанный в программе почтовый ящик по мере её накопления.

Для автозапуска, при загрузке системы, использует ключ реестра
HKCUSoftwareMicrosoftWindowsCurrentVersionRunyrrrrt2.

Для ручного удаления необходимо:

1. принудительно завершить процесс svssvc.exe (см. картинку);

2. удалить директорию
"C:Documents and SettingsApplication Datasysdata";

3. удалить ключ реестра
HKCUSoftwareMicrosoftWindowsCurrentVersionRunyrrrrt2

либо отключить автозапуск с помощью стандартной утилиты msconfig.exe (см раздел Автозапуск, элемент svssvc).

КГБ захватил компьютеры политиков и журналистов

После удаления программы рекоммендуется сменить пароли от всех ресурсов, доступ к которым осуществлялся с зараженной системы.

II. UFR Stealer

Троянская программа, известная как UFR Stealer, детектируется как "Trojan.PWS.UFR.11" (DrWeb), "Generic23.FQT" (AVG), "Trojan-PSW.Win32.Ruftar.bsa" (Kaspersky), "Trojan:Win32/Anomaly" (Microsoft), "a variant of Win32/Spy.Usteal.A" (NOD32), "Trojan.Khil.23905" (VBA32)

Файл имеет размер 52,736 байт. MD5: 71f950f31c15023c549ef4b33c2bf1e0

При запуске собирает логины/пароли приложений, используемых в системе. Поддерживает кражу паролей от таких программ как Opera, Firefox, Chrome, Internet Explorer, QIP, MSN Messenger, ICQ, Mail.ru Agent, Pidgin, Google Talk, Miranda, The Bat!, FileZilla, Total Commander и др. Также собирает общую информацию о системе. Сохраняет собранную информацию в папку ufr_files, в директории, где была запущена программа и пытается передать собранные данные на указанный в теле программы почтовый ящик. После этого самоудаляется.

В системе не закрепляется, поэтому ручное удаление из системы не требуется. При обнаружении такого файла удалите его самостоятельно, не запуская.

Определить была ли запущена у вас данная программа можно по характерным следам, которые остаются в системе:

* Наличие папки ufr_files на вашем диске с файлами *.dat, *.bin, *.txt, *.ds;
* Наличие prefech-файла по пути:
C:WindowsPrefetchABGREYD.EXE-*.pf.

КГБ захватил компьютеры политиков и журналистов

После удаления программы рекоммендуется сменить пароли от всех ресурсов, доступ к которым осуществлялся с зараженной системы.

III. RMS Trojan

Троянская программа, построенная на основе легальной программы для удаленного администрирования, известной как Remote Manipulator System (http://www.tektonit.ru). Компоненты, являющиеся легальным ПО, не детектируются антивирусными программами как вредонсоные файлы, однако инсталятор определяется как "Worm.Autorun-8201" (ClamAV), "Trojan.Generic.6178206" (GData), "Backdoor.BAT.Agent.l" (Kaspersky), "Backdoor.BAT.Agent.l" (VBA32).

Файл имеет размер 2,782,938 байт. MD5: 3299b4e65c7c1152140be319827d6e04

При запуске создает скрытую директорию C:Windowssystem32catroot3, куда копирует различные компоненты программы удаленного управления, настраивает системный фаервол, создаёт скрытый файл C:Windowssystem32de.exe. После этого запускает программу удаленного управления и самоудаляется из директории запуска.

Наличие в системе можно определить:

* по работающим процессам rutserv.exe или rfusclient.exe;

* по наличию скрытых директории C:Windowssystem32catroot3 и файла C:Windowssystem32de.exe;

* по наличию сервиса с именем "TektonIT - R-Server".

Управление осуществляется по собственному протоколу (на основе TCP), используя сервера компании Tekton-IT, предоставляемые на бесплатной основе.

Для быстрого ручного удаления можно воспользоваться деинсталятором, который, видимо, по ошибке атакующих, копируется в систему вместе с остальными компонентами вредноносного сервиса. Запуск C:windowssystem32de.exe удалит записи из реестра, остановит работающий сервис и удалит все компоненты приложения, включая и сам файл de.exe.

После удаления программы рекоммендуется сменить пароли от всех ресурсов, доступ к которым осуществлялся с зараженной системы, а также как можно раньше переустановить всю операционную систему, т.к. она могла быть заражена любыми другими вредоносными программами, которые загрузили с помощью текущей.

Заметили ошибку? Выделите текст, нажмите Ctrl+Enter и оставьте замечание!

Комментарий (Максимум 1000 символов)

Вопрос: Первый месяц лета?

Вы знаете что-то интересное или важное и готовы этим поделиться?
Обязательно свяжитесь с нами, это очень просто!

Выберите удобный способ для связи или напрямую отправьте сообщение в редакцию через форму на этой странице.

Govorim.by

vk.com/govorimby

Внимание! Новости рекламного характера публикуются по предварительной договорённости. Подробнее цены на размещение рекламы смотрите здесь

Хотите сэкономить 30% на изготовлении кухни или шкафа-купе?

Новости Беларуси

22-23 красавіка адбудзецца "Фэст Экскурсаводаў"

Хотите узнать больше? 22 – 23 красавіка 2017 года па ўсёй краіне пройдзе шэраг бясплатных экскурсій для ахвотных. “Фэст экскурсаводаў”, які ўжо стаў 223

Суд вынес приговор организаторам финансовой пирамиды "Спектр-Капитал"

Хотите узнать больше? Суд Центрального района Минска приговорил бывших сотрудников потребительского кооператива «Спектр-Капитал», который предлагал займы под 70%, но не 248

Рыженков назвал главную идею декрета о тунеядцах

Хотите узнать больше? Главная идея декрета №3 «О предупреждении социального иждивенчества» - стимулировать людей уплачивать налоги. фото: belta.by Об этом сегодня заявил 580

«Тест на гражданственность»: 99% белорусов думают, что они не могут повлиять на политику государства

Хотите узнать больше? Белорусы имеют высокий уровень базовых гражданских знаний, но при этом 99% из них считают, что никак не могут влиять на политику государства. фото 212

Reuters: Минск начал замещать российскую нефть поставками из Ирана

Хотите узнать больше? Как сообщает агентство, госкомпания «Белоруснефть» приобрела 80 тыс. тонн (порядка 600 тыс. барр.) нефти из Ирана (продавцом выступила Национальная 252

Таможня России будет контролировать белорусскую границу с помощью «мобильных групп»

Хотите узнать больше? В условиях введения пограничной зоны с Беларусью Федеральная таможенная служба России продолжит работу в режиме мобильных групп, которые будут 224

Литовский министр заявил, что Еврокомиссия потребует стресс-тесты со строящейся БелАЭС

Хотите узнать больше? Еврокомиссия (ЕК) потребует проведения стресс-тестов на строящейся в белорусском Островце Белорусской АЭС (БелАЭС) и намерена не делать никаких 309

Кобяков: Никакого печатания эмиссионных денег ни в коем случае быть не должно, это прошедший этап

Хотите узнать больше? Эмиссионное печатание денег — не более чем прошедший этап в истории экономического развития в Беларуси. Об этом по итогам совещания у главы 271