Закрыть

Выберите город

Закрыть

КГБ захватил компьютеры политиков и журналистов

КГБ захватил компьютеры политиков и журналистов

Расследование предновогодних взломов charter97.org и electroname.com дало ошеломительный результат.

Оказалось, под негласным контролем белорусских спецслужб длительное время находились компьютеры, а также личная переписка через Skype, электронную почту и социальные сети, не только некоторых работников хартийской редакции (компьютер контент-администратора, имеющего доступ только к административной панели сайта Хартии), но и известных белорусских журналистов, политиков, общественных деятелей, активистов.

Троянская сеть контролировалась с помощью нескольких ящиков электронной почты; удалось получить доступ к некоторым: boss.bigben@mail.ru и 123asqedws@mail.ru.

КГБ захватил компьютеры политиков и журналистов

Анализ присланных вирусами логов активности зараженных компьютеров позволяет утверждать, что спецслужбы незаконно прослушивали редакцию Хартии, Ирину Халип, Марину Коктыш, Сергея Возняка, Павла Маринича, Елену Новикову, Виктора Радькова и многих других людей. Предпринимались попытки заражения компьютеров Белорусской ассоциации журналистов, Дмитрия Лоевского, адвоката Алеся Беляцкого, Вячеслава Дианова, координатора "молчаливых" акций протеста. Были ли попытки успешными - неизвестно.

Сеть работала как минимум с июля 2011 года. Именно тогда установлено первое задокументированное заражение одного из компьютеров. Были украдены пароли от Skype (это позволяет включить Skype на другом компьютере и параллельно читать всю переписку пользователя), социальных сетей, e-mail и даже пароли доступа к интернет-провайдеру, записывалась картинка десктопа с действиями пользователя, копирование в буфер обмена, набор текста в текстовых редакторах, мессенджерах.

Злоумышленники использовали три вида вирусов: уже известный вирус КГБ или RMS от TeknotIT, UFR Stealer - вирус, заражающий компьютер через флешку, и Keylogger Detective. Это так называемые "трояны для школьников". Их можно свободно купить в Рунете за 20-30 долларов.

Удалось установить и белорусский IP-адрес, который принадлежит владельцам вирусов и двух e-mail. Адрес сохранился в отправленных и тестовых письмах в обоих почтовых ящиках. Этот же самый адрес есть в логах нападения на charter97.org и electroname.com - 178.124.157.86. IP-адрес зафиксирован в логах e-mail и серверов под разными датами, т.е. адрес статичный и используется постоянно.

КГБ захватил компьютеры политиков и журналистов

Другими словами, заражение компьютеров, прослушка и атака на сайты выполнена одной и той же группой.

Судя по тому, что Максим Чернявский, завербованный куратором Димой из КГБ, также получил задание установить "вирус" RMS от TeknotIT на компьютер Вячеслава Дианова, можно предположить - эта группа киберпреступников из КГБ.

Предлагаем инструкцию по поиску и удалению вирусов:

I. KeyloggerDetective

Троянская программа, известная как Keylogger Detective, детектируется как "modified Win32/PSW.Sycomp.G" (NOD32), "Trojan.MulDrop3.2380" (DrWeb), "Trojan-Spy.Win32.Agent.btzs" (Kaspersky), "TrojanSpy:Win32/Keylogger.BK" (Microsoft), "SHeur3.CKGS" (AVG), "Trojan.ADH" (Symantec), "TrojanSpy.Agent.btzs" (VBA32).

Файл имеет размер 87,312 байт. MD5: e740bf2a9539bf4fc4df88cf4e799bf2

При запуске создаёт директорию "C:Documents and SettingsApplication Datasysdata", куда копирует себя, и сохраняет в ней файлы с информацией о нажатых клавишах, активных окнах, кликах мыши и содержимом буфера обмена. Файлы, с перехваченной информацией, имеют вид sys.dat, 0sys.dat, 1sys.dat. Собранную информацию отправляет на указанный в программе почтовый ящик по мере её накопления.

Для автозапуска, при загрузке системы, использует ключ реестра
HKCUSoftwareMicrosoftWindowsCurrentVersionRunyrrrrt2.

Для ручного удаления необходимо:

1. принудительно завершить процесс svssvc.exe (см. картинку);

2. удалить директорию
"C:Documents and SettingsApplication Datasysdata";

3. удалить ключ реестра
HKCUSoftwareMicrosoftWindowsCurrentVersionRunyrrrrt2

либо отключить автозапуск с помощью стандартной утилиты msconfig.exe (см раздел Автозапуск, элемент svssvc).

КГБ захватил компьютеры политиков и журналистов

После удаления программы рекоммендуется сменить пароли от всех ресурсов, доступ к которым осуществлялся с зараженной системы.

II. UFR Stealer

Троянская программа, известная как UFR Stealer, детектируется как "Trojan.PWS.UFR.11" (DrWeb), "Generic23.FQT" (AVG), "Trojan-PSW.Win32.Ruftar.bsa" (Kaspersky), "Trojan:Win32/Anomaly" (Microsoft), "a variant of Win32/Spy.Usteal.A" (NOD32), "Trojan.Khil.23905" (VBA32)

Файл имеет размер 52,736 байт. MD5: 71f950f31c15023c549ef4b33c2bf1e0

При запуске собирает логины/пароли приложений, используемых в системе. Поддерживает кражу паролей от таких программ как Opera, Firefox, Chrome, Internet Explorer, QIP, MSN Messenger, ICQ, Mail.ru Agent, Pidgin, Google Talk, Miranda, The Bat!, FileZilla, Total Commander и др. Также собирает общую информацию о системе. Сохраняет собранную информацию в папку ufr_files, в директории, где была запущена программа и пытается передать собранные данные на указанный в теле программы почтовый ящик. После этого самоудаляется.

В системе не закрепляется, поэтому ручное удаление из системы не требуется. При обнаружении такого файла удалите его самостоятельно, не запуская.

Определить была ли запущена у вас данная программа можно по характерным следам, которые остаются в системе:

* Наличие папки ufr_files на вашем диске с файлами *.dat, *.bin, *.txt, *.ds;
* Наличие prefech-файла по пути:
C:WindowsPrefetchABGREYD.EXE-*.pf.

КГБ захватил компьютеры политиков и журналистов

После удаления программы рекоммендуется сменить пароли от всех ресурсов, доступ к которым осуществлялся с зараженной системы.

III. RMS Trojan

Троянская программа, построенная на основе легальной программы для удаленного администрирования, известной как Remote Manipulator System (http://www.tektonit.ru). Компоненты, являющиеся легальным ПО, не детектируются антивирусными программами как вредонсоные файлы, однако инсталятор определяется как "Worm.Autorun-8201" (ClamAV), "Trojan.Generic.6178206" (GData), "Backdoor.BAT.Agent.l" (Kaspersky), "Backdoor.BAT.Agent.l" (VBA32).

Файл имеет размер 2,782,938 байт. MD5: 3299b4e65c7c1152140be319827d6e04

При запуске создает скрытую директорию C:Windowssystem32catroot3, куда копирует различные компоненты программы удаленного управления, настраивает системный фаервол, создаёт скрытый файл C:Windowssystem32de.exe. После этого запускает программу удаленного управления и самоудаляется из директории запуска.

Наличие в системе можно определить:

* по работающим процессам rutserv.exe или rfusclient.exe;

* по наличию скрытых директории C:Windowssystem32catroot3 и файла C:Windowssystem32de.exe;

* по наличию сервиса с именем "TektonIT - R-Server".

Управление осуществляется по собственному протоколу (на основе TCP), используя сервера компании Tekton-IT, предоставляемые на бесплатной основе.

Для быстрого ручного удаления можно воспользоваться деинсталятором, который, видимо, по ошибке атакующих, копируется в систему вместе с остальными компонентами вредноносного сервиса. Запуск C:windowssystem32de.exe удалит записи из реестра, остановит работающий сервис и удалит все компоненты приложения, включая и сам файл de.exe.

После удаления программы рекоммендуется сменить пароли от всех ресурсов, доступ к которым осуществлялся с зараженной системы, а также как можно раньше переустановить всю операционную систему, т.к. она могла быть заражена любыми другими вредоносными программами, которые загрузили с помощью текущей.

Заметили ошибку? Выделите текст, нажмите Ctrl+Enter и оставьте замечание!

Комментарий (Максимум 1000 символов)

Вопрос: 24 часа это - ?

Вы знаете что-то интересное или важное и готовы этим поделиться?
Обязательно свяжитесь с нами, это очень просто!

Выберите удобный способ для связи или напрямую отправьте сообщение в редакцию через форму на этой странице.

Govorim.by

vk.com/govorimby

Внимание! Новости рекламного характера публикуются по предварительной договорённости. Подробнее цены на размещение рекламы смотрите здесь

Хотите сэкономить 30% на изготовлении кухни или шкафа-купе?

Новости Беларуси

«Таковские вещи подогревают сердце». Белорусам раздают шарфы и шапки

Хотите узнать больше? В конце прошлого года velcom утеплил уличные скульптуры по всей стране, одев в шарфы и шапки самых разных персонажей – от минского «воробья» до 96

На мартовские праздники запустят добавочные поезда в Россию

Хотите узнать больше? Белорусская железная дорога на мартовские праздники назначит дополнительные поезда в Москву и Петербург. фото: rw.by С 7 по 11 марта будет 82

Синоптики прогнозируют потепление во другой половине недели

Хотите узнать больше? Во второй половине недели в Беларуси потеплеет, ожидаются мокрый снег и дождь. Об этом рассказали в Республиканском центре по гидрометеорологии, 77

Национальный аэропорт «Минcк» получит госкредиты на вторую полосу

Хотите узнать больше? Правительство согласовало Банку развития Республики Беларусь выдачу в 2018 году кредитов Национальному аэропорту «Минск» для строительства второй 93

Гендиректор Агрокомбината "Заря" обвиняется в хищении в особо крупном размере

Хотите узнать больше? Генеральный директор ЗАО «Агрокомбинат «Заря», 1958 года рождения, признан обвиняемым по уголовному делу о хищениях в особо крупном размере. В ходе 385

Роскачеству не показался кефир «Савушкина продукта»

Хотите узнать больше? Российская система качества (Роскачество) в ходе своего веерного исследования отнесло 2,5% жирности кефир белорусского производителя к «товарам с 367

В ЕАЭС самая большущая инфляция в Казахстане и Беларуси

Хотите узнать больше? Инфляция в странах Евразийского экономического союза в 2017 году не превысила предельного значения, установленного Договором о ЕАЭС. Как, сообщили 366

Правительство упростило правила приема документов в профтехучилище

Хотите узнать больше? Постановлением Совета министров №19 внесены коррективы в Правила приема лиц для получения профессионально-технического образования. Согласно 652