Rasśledavańnie pieradnavahodnich uzłomaŭ charter97.org i electroname.com dało ašałamlalny vynik.
Administratary sajtaŭ vyjavili, što pad sakretnym kantrolem biełaruskich śpiecsłužbaŭ doŭhi čas znachodzilisia kampjutary, a taksama asabistaja pierapiska praz Skype, elektronnuju poštu i sacyjalnyja sietki nie tolki niekatorych supracoŭnikaŭ redakcyi Chartyi (kampjutarkantent-administratara , jaki maje dostup tolki da administracyjnaj paneli sajta), ale i šerahu inšych viadomych žurnalistaŭ, palitykaŭ, hramadskich dziejačaŭ.
Trajanskaja sietka, śćviardžaje electroname.com, kantralavałasia z dapamohaj niekalkich skryń elektronnaj pošty. Udałosia atrymać dostup da niekatorych: [email protected] i [email protected].
Analiz dasłanych virusami łohaŭ aktyŭnaści zaražanych kamputaraŭ dazvalaje śćviardžać, što śpiecsłužby prasłuchoŭvali redakcyju «Chartyi», Irynu Chalip, Marynu Koktyš, Siarhieja Vaźniaka, Paŭła Maryniča, Alenu Novikavu, Viktara Radźkova i mnohich inšych ludziej. Rabilisia sproby zaražeńnia kampjutaraŭ Biełaruskaj asacyjacyi žurnalistaŭ, advakata Alesia Bialackaha Źmitra Łajeŭskaha, kaardynatara «maŭklivych» akcyj pratestu Viačasłava Dzijanava. Ci byli tyja sproby paśpiachovymi — nieviadoma.
Sietka pracavała jak minimum ź lipienia 2011 hoda.Mienavita tady ŭpieršyniu było zadakumientavana zaražeńnie adnaho z kampjutaraŭ. Byli vykradzienyja paroli ad Skype (heta dazvalaje ŭklučyć Skype na inšym kampjutary i paralelna čytać ŭsiu pierapisku karystalnika), sacyjalnych sietak,
Złamyśniki vykarystali try vidy virusaŭ: užo viadomy «virus KDB», ci RMS ad TeknotIT, UFR Stealer — virus, jaki zaražaje kampjutar praz fłešku, i Keylogger Detective.Heta tak zvanyja «trajany dla školnikaŭ». Ich možna volna kupić u Runecie za 20–30 dalaraŭ.
Udałosia vyznačyć i biełaruski
Inšymi słovami, zaražeńnie kampjutaraŭ, prasłuchoŭvańnie i ataka na sajty vykanana adnoj i toj ža hrupaj.
Varta nahadać, što aktyvista Maŭklivych Apładysmientaŭ Maksima Čarniaŭskaha KDB sprabavała zavierbavać, kab jon ustalavaŭ na kampjutar Viačasłava Dyjanava mienavita «virus» RMS ad TeknotIT.
Prapanujem instrukcyju dla pošuku i vydaleńnia virusaŭ:I. KeyloggerDetective
Trajanskaja prahrama, viadomaja jak Keylogger Detective, detektujecca jak «modified Win32/PSW.Sycomp. G» (NOD32), «Trojan. MulDrop3.2380» (DrWeb),
Fajł maje pamier 87,312 bajt. MD5: e740bf2a9539bf4fc4df88cf4e799bf2
Pry zapusku stvaraje dyrektoryju «C: \ Documents and Settings \ \ Application Data \ sysdata», kudy kapijuje siabie, i zachoŭvaje ŭ joj fajły ź infarmacyjaj ab nacisnutych kłavišach, aktyŭnych voknach, klikach myški i źmieścivie bufieru abmienu. Fajły ź pieraciahnutaj infarmacyjaj majuć vyhlad sys.dat, 0sys.dat, 1sys.dat. Sabranuju infarmacyju adpraŭlaje na pakazanuju ŭ prahramie paštovuju skryniu pa miery jaje nazapašvańnia.
Dla aŭtazapusku, pry zahruzcy sistemy, vykarystoŭvaje kluč rejestra
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ yrrrrt2.
Dla ručnoha vydaleńnia nieabchodna:
1. prymusova zaviaršyć praces svssvc.exe (hł. malunak);
2. vydalić dyrektoryju
«C: \ Documents and Settings \ \ Application Data \ sysdata»;
3. vydalić kluč rejestra
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ yrrrrt2
albo adklučyć aŭtazapusk z dapamohaj standartnaj ŭtylity msconfig.exe (sm profil Aŭtazapusk, elemient svssvc).
Paśla vydaleńnia prahramy rekamiendujecca źmianić paroli ad usich resursaŭ, dostup da jakich ažyćciaŭlaŭsia z zaražanaj sistemy.
II. UFR Stealer
Trajanskaja prahrama, viadomaja jak UFR Stealer, detektujecca jak «Trojan. PWS.UFR.11» (DrWeb), «Generic23.FQT» (AVG), «
Fajł maje pamier 52,736 bajt. MD5: 71f950f31c15023c549ef4b33c2bf1e0
Pry zapusku źbiraje łahiny / paroli prykładak, jakija vykarystoŭvajucca ŭ sistemie. Padtrymlivaje kradziež parolaŭ ad takich prahram, jak Opera, Firefox, Chrome, Internet Explorer, QIP, MSN Messenger, ICQ, Mail.ru Agent, Pidgin, Google Talk, Miranda, The Bat!, FileZilla, Total Commander i inš Taksama źbiraje ahulnuju infarmacyju ab sistemie. Zachoŭvaje sabranuju infarmacyju ŭ tečku ufr_files, u dyrektoryi, dzie była zapuščana prahrama i sprabuje pieradać sabranyja dadzienyja na pakazanuju ŭ ciele prahramy paštovuju skryniu. Paśla hetaha samavydalajecca.
U sistemie nie zamacoŭvajecca, tamu ručnoje vydaleńnie ź sistemy nie patrabujecca. Pry vyjaŭleńni takoha fajła vydalicie iaho samastojna, nie zapuskajučy.
Vyznačyć, ci była zapuščana ŭ vas dadzienaja prahrama, možna pa charakternych śladach, jakija zastajucca ŭ sistemie:
* Najaŭnaść tečki ufr_files na vašym dysku z fajłami *. dat, *. bin, *. txt, *. ds;
* Najaŭnaść
C: \ Windows \ Prefetch \ ABGREYD.EXE-*. pf.
Paśla vydaleńnia prahramy rekamiendujecca źmianić paroli ad usich resursaŭ, dostup da jakich ažyćciaŭlaŭsia z zaražanaj sistemy.
III. RMS Trojan
Trajanskaja prahrama, pabudavanaja na asnovie lehalnaj prahramy dla vydalenaha administravańnia, viadomaj jak Remote Manipulator System (http://www.tektonit.ru). Kampanienty, jakija źjaŭlajucca lehalnym PA, nie detektujucca antyvirusnymi prahramami jak škodnickija fajły, adnak instalatar vyznačajecca jak «Worm.
Fajł maje pamier 2,782,938 bajt. MD5: 3299b4e65c7c1152140be319827d6e04
Pry zapusku stvaraje schavanuju dyrektoryju C: \ Windows \ system32 \ catroot3, kudy kapijuje roznyja kampanienty prahramy vydalenaha kiravańnia, nastrojvaje sistemny fajervoł, stvaraje schavany fajł C: \ Windows \ system32 \ de.exe. Paśla hetaha zapuskaje prahramu vydalenaha kiravańnia i samavydalajecca z dyrektoryi zapusku.
Najaŭnaść u sistemie možna vyznačyć:
* Pa pracujučych pracesach rutserv.exe abo rfusclient.exe;
* Pa najaŭnaści utojenych dyrektoryj C: \ Windows \ system32 \ catroot3 i fajła C: \ Windows \ system32 \ de.exe;
* Pa najaŭnaści servisu ź imiem «TektonIT —
Kiravańnie ažyćciaŭlajecca pa ŭłasnym pratakole (na asnovie TCP), vykarystoŭvajučy sierviery kampanii
Dla chutkaha ručnoha vydaleńnia možna skarystacca deinstalataram, jaki, mabyć, pa pamyłcy, kapijujecca ŭ sistemu razam z astatnimi kampanientami škadlivaha servisu. Zapusk C: \ windows \ system32 \ de.exe vydalić zapisy z rejestra, spynić pracujučy servis i vydalić usie kampanienty prykładki, u tym liku i sam fajł de.exe.
Kamientary