Торпиг

Torpig , также известный как Anserin или Sinowal, представляет собой тип бот-сети , распространяемый через системы, скомпрометированные руткитом Mebroot различными троянскими конями, с целью сбора конфиденциальных личных и корпоративных данных, таких как информация о банковском счете и кредитной карте. Он нацелен на компьютеры, использующие Microsoft Windows , вербуя сеть зомби для ботнета. Torpig обходит антивирусное программное обеспечение с помощью технологии руткитов и сканирует зараженную систему на предмет учетных данных, учетных записей и паролей, а также потенциально предоставляет злоумышленникам полный доступ к компьютеру. Он также якобы способен изменять данные на компьютере и выполнять атаки типа «человек в браузере» .

К ноябрю 2008 года было подсчитано, что Торпиг украл данные примерно 500 000 онлайн-банковских счетов , а также кредитных и дебетовых карт и был описан как «одна из самых совершенных программ для преступного мира, когда-либо созданных». ^{[ 1 ]}

Сообщается, что Torpig начал разработку в 2005 году и с этого момента начал более эффективно уклоняться от обнаружения хост-системой и антивирусным программным обеспечением. ^{[ 2 ]}

В начале 2009 года группа исследователей безопасности из Калифорнийского университета в Санта-Барбаре взяла под контроль ботнет на десять дней. За это время они извлекли беспрецедентное количество (более 70 ГБ ) украденных данных и перенаправили 1,2 миллиона IP-адресов на свой частный сервер управления. Отчет ^{[ 3 ]} подробно рассказывает о том, как работает ботнет. В ходе десятидневного захвата ботнета исследовательской группой UCSB Торпиг смог получить данные для входа в систему для 8310 учетных записей в 410 различных учреждениях и 1660 уникальных номеров кредитных и дебетовых карт от жертв в США (49%), Италии (12%). ), Испания (8%) и еще 40 стран, включая карты Visa (1056), MasterCard (447), American Express (81), Maestro (36) и Discover (24). ^{[ 4 ]}

Первоначально большая часть распространения Torpig была связана с фишинговыми электронными письмами, которые обманным путем заставляли пользователей устанавливать вредоносное программное обеспечение. Более сложные методы доставки, разработанные с тех пор, используют вредоносные рекламные баннеры , которые используют эксплойты , обнаруженные в устаревших версиях Java или Adobe Acrobat Reader , Flash Player , Shockwave Player . Тип загрузки с диска . Этот метод обычно не требует от пользователя нажатия на рекламу, и загрузка может начаться без каких-либо видимых признаков после того, как вредоносное объявление распознает старую версию программного обеспечения и перенаправит браузер на сайт загрузки Torpig. Для завершения установки в главную загрузочную запись (MBR) зараженного компьютера троян перезагрузит компьютер. ^{[ 2 ]}

На основной стадии заражения вредоносная программа будет загружать информацию с компьютера по двадцать минут, включая финансовые данные, такие как номера кредитных карт и учетные данные для банковских счетов, а также учетные записи электронной почты, пароли Windows, учетные данные FTP и Учетные записи POP / SMTP . ^{[ 4 ]}

• Мебрут
• Загрузка для проезда
• Фишинг
• Человек в браузере
• Conficker — червь, который также использует генерацию доменных имен (или доменный поток).
• Хронология компьютерных вирусов и червей

• Принятие контроля над ботнетом Torpig , IEEE Security & Privacy , январь/февраль 2011 г.

• Анализ UCSB
• Один троян Sinowal + одна банда = сотни тысяч скомпрометированных учетных записей , исследовательская лаборатория RSA FraudAction, октябрь 2008 г.
• Не будьте жертвой Sinowal, супер-трояна, автор Вуди Леонхард, WindowsSecrets.com, ноябрь 2008 г.
• Антивирусные инструменты пытаются удалить Sinowal/Mebroot. Вуди Леонхард, WindowsSecrets.com, ноябрь 2008 г.
• Ботнет Torpig Hijacked and Dissected на Slashdot, май 2009 г.
• «Как украсть ботнет и что может случиться, если вы это сделаете», Ричард А. Кеммерер, GoogleTechTalks, сентябрь 2009 г.