Закрыть

Выберите город

Закрыть

КГБ захватил компьютеры политиков и журналистов

КГБ захватил компьютеры политиков и журналистов

Расследование предновогодних взломов charter97.org и electroname.com дало ошеломительный результат.

Оказалось, под негласным контролем белорусских спецслужб длительное время находились компьютеры, а также личная переписка через Skype, электронную почту и социальные сети, не только некоторых работников хартийской редакции (компьютер контент-администратора, имеющего доступ только к административной панели сайта Хартии), но и известных белорусских журналистов, политиков, общественных деятелей, активистов.

Троянская сеть контролировалась с помощью нескольких ящиков электронной почты; удалось получить доступ к некоторым: boss.bigben@mail.ru и 123asqedws@mail.ru.

КГБ захватил компьютеры политиков и журналистов

Анализ присланных вирусами логов активности зараженных компьютеров позволяет утверждать, что спецслужбы незаконно прослушивали редакцию Хартии, Ирину Халип, Марину Коктыш, Сергея Возняка, Павла Маринича, Елену Новикову, Виктора Радькова и многих других людей. Предпринимались попытки заражения компьютеров Белорусской ассоциации журналистов, Дмитрия Лоевского, адвоката Алеся Беляцкого, Вячеслава Дианова, координатора "молчаливых" акций протеста. Были ли попытки успешными - неизвестно.

Сеть работала как минимум с июля 2011 года. Именно тогда установлено первое задокументированное заражение одного из компьютеров. Были украдены пароли от Skype (это позволяет включить Skype на другом компьютере и параллельно читать всю переписку пользователя), социальных сетей, e-mail и даже пароли доступа к интернет-провайдеру, записывалась картинка десктопа с действиями пользователя, копирование в буфер обмена, набор текста в текстовых редакторах, мессенджерах.

Злоумышленники использовали три вида вирусов: уже известный вирус КГБ или RMS от TeknotIT, UFR Stealer - вирус, заражающий компьютер через флешку, и Keylogger Detective. Это так называемые "трояны для школьников". Их можно свободно купить в Рунете за 20-30 долларов.

Удалось установить и белорусский IP-адрес, который принадлежит владельцам вирусов и двух e-mail. Адрес сохранился в отправленных и тестовых письмах в обоих почтовых ящиках. Этот же самый адрес есть в логах нападения на charter97.org и electroname.com - 178.124.157.86. IP-адрес зафиксирован в логах e-mail и серверов под разными датами, т.е. адрес статичный и используется постоянно.

КГБ захватил компьютеры политиков и журналистов

Другими словами, заражение компьютеров, прослушка и атака на сайты выполнена одной и той же группой.

Судя по тому, что Максим Чернявский, завербованный куратором Димой из КГБ, также получил задание установить "вирус" RMS от TeknotIT на компьютер Вячеслава Дианова, можно предположить - эта группа киберпреступников из КГБ.

Предлагаем инструкцию по поиску и удалению вирусов:

I. KeyloggerDetective

Троянская программа, известная как Keylogger Detective, детектируется как "modified Win32/PSW.Sycomp.G" (NOD32), "Trojan.MulDrop3.2380" (DrWeb), "Trojan-Spy.Win32.Agent.btzs" (Kaspersky), "TrojanSpy:Win32/Keylogger.BK" (Microsoft), "SHeur3.CKGS" (AVG), "Trojan.ADH" (Symantec), "TrojanSpy.Agent.btzs" (VBA32).

Файл имеет размер 87,312 байт. MD5: e740bf2a9539bf4fc4df88cf4e799bf2

При запуске создаёт директорию "C:Documents and SettingsApplication Datasysdata", куда копирует себя, и сохраняет в ней файлы с информацией о нажатых клавишах, активных окнах, кликах мыши и содержимом буфера обмена. Файлы, с перехваченной информацией, имеют вид sys.dat, 0sys.dat, 1sys.dat. Собранную информацию отправляет на указанный в программе почтовый ящик по мере её накопления.

Для автозапуска, при загрузке системы, использует ключ реестра
HKCUSoftwareMicrosoftWindowsCurrentVersionRunyrrrrt2.

Для ручного удаления необходимо:

1. принудительно завершить процесс svssvc.exe (см. картинку);

2. удалить директорию
"C:Documents and SettingsApplication Datasysdata";

3. удалить ключ реестра
HKCUSoftwareMicrosoftWindowsCurrentVersionRunyrrrrt2

либо отключить автозапуск с помощью стандартной утилиты msconfig.exe (см раздел Автозапуск, элемент svssvc).

КГБ захватил компьютеры политиков и журналистов

После удаления программы рекоммендуется сменить пароли от всех ресурсов, доступ к которым осуществлялся с зараженной системы.

II. UFR Stealer

Троянская программа, известная как UFR Stealer, детектируется как "Trojan.PWS.UFR.11" (DrWeb), "Generic23.FQT" (AVG), "Trojan-PSW.Win32.Ruftar.bsa" (Kaspersky), "Trojan:Win32/Anomaly" (Microsoft), "a variant of Win32/Spy.Usteal.A" (NOD32), "Trojan.Khil.23905" (VBA32)

Файл имеет размер 52,736 байт. MD5: 71f950f31c15023c549ef4b33c2bf1e0

При запуске собирает логины/пароли приложений, используемых в системе. Поддерживает кражу паролей от таких программ как Opera, Firefox, Chrome, Internet Explorer, QIP, MSN Messenger, ICQ, Mail.ru Agent, Pidgin, Google Talk, Miranda, The Bat!, FileZilla, Total Commander и др. Также собирает общую информацию о системе. Сохраняет собранную информацию в папку ufr_files, в директории, где была запущена программа и пытается передать собранные данные на указанный в теле программы почтовый ящик. После этого самоудаляется.

В системе не закрепляется, поэтому ручное удаление из системы не требуется. При обнаружении такого файла удалите его самостоятельно, не запуская.

Определить была ли запущена у вас данная программа можно по характерным следам, которые остаются в системе:

* Наличие папки ufr_files на вашем диске с файлами *.dat, *.bin, *.txt, *.ds;
* Наличие prefech-файла по пути:
C:WindowsPrefetchABGREYD.EXE-*.pf.

КГБ захватил компьютеры политиков и журналистов

После удаления программы рекоммендуется сменить пароли от всех ресурсов, доступ к которым осуществлялся с зараженной системы.

III. RMS Trojan

Троянская программа, построенная на основе легальной программы для удаленного администрирования, известной как Remote Manipulator System (http://www.tektonit.ru). Компоненты, являющиеся легальным ПО, не детектируются антивирусными программами как вредонсоные файлы, однако инсталятор определяется как "Worm.Autorun-8201" (ClamAV), "Trojan.Generic.6178206" (GData), "Backdoor.BAT.Agent.l" (Kaspersky), "Backdoor.BAT.Agent.l" (VBA32).

Файл имеет размер 2,782,938 байт. MD5: 3299b4e65c7c1152140be319827d6e04

При запуске создает скрытую директорию C:Windowssystem32catroot3, куда копирует различные компоненты программы удаленного управления, настраивает системный фаервол, создаёт скрытый файл C:Windowssystem32de.exe. После этого запускает программу удаленного управления и самоудаляется из директории запуска.

Наличие в системе можно определить:

* по работающим процессам rutserv.exe или rfusclient.exe;

* по наличию скрытых директории C:Windowssystem32catroot3 и файла C:Windowssystem32de.exe;

* по наличию сервиса с именем "TektonIT - R-Server".

Управление осуществляется по собственному протоколу (на основе TCP), используя сервера компании Tekton-IT, предоставляемые на бесплатной основе.

Для быстрого ручного удаления можно воспользоваться деинсталятором, который, видимо, по ошибке атакующих, копируется в систему вместе с остальными компонентами вредноносного сервиса. Запуск C:windowssystem32de.exe удалит записи из реестра, остановит работающий сервис и удалит все компоненты приложения, включая и сам файл de.exe.

После удаления программы рекоммендуется сменить пароли от всех ресурсов, доступ к которым осуществлялся с зараженной системы, а также как можно раньше переустановить всю операционную систему, т.к. она могла быть заражена любыми другими вредоносными программами, которые загрузили с помощью текущей.

Заметили ошибку? Выделите текст, нажмите Ctrl+Enter и оставьте замечание!

Комментарий (Максимум 1000 символов)

Вопрос: Сколько лет в веке? (ответ числом)

Вы знаете что-то интересное или важное и готовы этим поделиться?
Обязательно свяжитесь с нами, это очень просто!

Выберите удобный способ для связи или напрямую отправьте сообщение в редакцию через форму на этой странице.

Govorim.by

vk.com/govorimby

Внимание! Новости рекламного характера публикуются по предварительной договорённости. Подробнее цены на размещение рекламы смотрите здесь

Хотите сэкономить 30% на изготовлении кухни или шкафа-купе?

Новости Беларуси

Рейтинг паспортов: Беларусь на 88-м месте

Хотите узнать больше? Беларусь заняла 88-е место в свежем рейтинга паспортов мира, опубликованном международной консалтинговой компанией Henley & Partners. фото: tut.by 62

Минобразования: 87 процентов школ начинают уроки в 8.30 и 9.00

Хотите узнать больше? Уроки в промежутке с 8.30 до 9.00 начинают 87% белорусских школ. Актуальную цифру назвала журналистам замминистра образования Раиса Сидоренко. фото: 178

Кобяков пообещал хорошие условия для бизнеса, который придет в Беларусь

Хотите узнать больше? Премьер-министр Беларуси Андрей Кобяков встретился с делегатами XI Ассамблеи Международного Конгресса промышленников и предпринимателей – объединения 57

Греф: Блокчейн перевернет мировую экономику через 5-10 лет

Хотите узнать больше? Глава Сбербанка Герман Греф считает, что через 5-10 лет в мировой экономике произойдут значимые перемены благодаря внедрению и промышленному 48

БГУ занял 115-е место в международном рейтинге университетов

Хотите узнать больше? Из всех вузов Беларуси только БГУ попал в топ-500 международного рейтинга университетов по трудоустройству выпускников по версии влиятельного 187

Лукашенко напомнил о требовании «декрета о тунеядцах»

Хотите узнать больше? Президент Беларуси заявил, что каждый человек будет иметь возможность работать и зарабатывать. Глава государства подчеркнул, что никто не отменял 231

Лукашенко не видит предпосылок для роста цен

Хотите узнать больше? 14 сентября Александр Лукашенко, согласовывая назначения руководителей местной власти, сосредоточил внимание на контроле роста цен. Президент 127

Открытое письмо Министерству Образования РБ и всем райисполкомам

Хотите узнать больше? Пишу это письмо, потому что ситуация с образованием в стране стала ухудшаться стремительно, переплюнуты даже самые пессимистичные прогнозы. Но самое 13 647