Сделай Сам Свою Работу на 5
Главная | Контакты

FraudTool.Win32.Reanimator.a

12




 

Исполняемый файл является загрузчиком, написан на Delphi, размер - 308 кб, на текущий момент известно 8 разновидностей. Устанавливает программу-обманку, которая, являясь якобы антивирусом, находит массу несуществующих угроз и предлагает вылечить их за деньги.

В случае запуска:

1.Может выдать окно, якобы сообщение об ошибке. Другие варианты выводят окно с прогресс-индикатором, показывающим процесс загрузки и установки

2. Обращается к сайту www.winreanimator.com и загружает с него несколько ZIP архивов

3. Создает папку C:\Program Files\WinReanimator, дропает в нее библиотеку unzip32.dll, загружает ее и применяет для распаковки загруженных архивов.

4. Далее в папке WinReanimator создаются файлы WinReanimator.exe, WinReanimator.dll, pthreadVC2.dll, un.ico, install.exe, htmlayout.dll, папки Microsoft.VC80.CRT (с библиотеками MS msvcm80.dll, msvcp80.dll, msvcr80.dll)

5. WinReanimator.exe прописывается в автозапуск

Созданный загрузчиком на диске WinReanimator после установки запускается, «сканирует» систему. На эталонной системе Windows XP SP2 он «находит» 28 шпионских объектов, причем показывает в логе имена заведомо несуществующих в системе объектов. Для «лечения» необходимо купить программу. За счет автозапуска процесс «сканирования» повторяется при каждой загрузке. При закрытии WinReanimator сворачивается в трей. У зловреда как правило есть действующий деинсталлятор. [6]




Моделирование процесса деструктивных воздействий

 

Скрипт
Лицензия
Злоумышленник
Текстовый файл
Пользователь
Троян
Злоумышленник
Ссылка
Файл
Web-сайт
E-mail
P2P-сети
Блок-схема 1. Модель процесса деструктивных воздействий FraudTool.

Пояснение к блок-схеме:

1. Злоумышленник загружает зараженный файл.

2. На почту «жертвы» высылается либо сам файл, либо ссылка на фишинговый, зараженный сайт.

3. Злоумышленник загружает вирус на сайт

4. Пользователь скачивает зараженный файл.

5. Пользователь переходит по ссылке.

6. На сайте срабатывает скрипт и происходит автоматическая загрузка зараженного файла на компьютер пользователя

7. Троянец создает ключи реестра и сохраняет свою служебную информацию и настройки.

8. Троян, выдавая себя за антивирус, находит множество несуществующих потоков и предлагает купить лицензию с помощью кредитной карты.



9. Пользователь вводит номер карты и пин-код для получения доступа к лицензии.

10. Происходит копирование информации о кредитной карте в текстовый файл.

11. Злоумышленнику отправляется файл с данными.


 

Оценка ущербов и рисков

 

Для измерения какого-либо свойства необходимо выбрать шкалу. Для измерения рисков не существует абсолютной шкалы. Риски можно оценивать по объективным либо субъективным критериям. Для оценки данным методом обычно разрабатывается ранговая шкала с несколькими градациями, например: низкий, средний, высокий уровни.

Существует ряд подходов к измерению рисков. Для оценки рисков, связанных с FraudTool я воспользуюсь моделью оценки рисков по трем факторам:угроза, уязвимость, цена потери. Угроза и уязвимость определяются следующим образом.

Угроза — совокупность условий и факторов, которые могут стать причиной нарушения целостности, доступности, конфиденциальности информации.

Уязвимость — слабость в системе защиты, которая делает возможным реализацию угрозы.

Цена потери — это качественная или количественная оценка степени серьезности происшествия.

Вероятность происшествия, которая в данном подходе может быть объективной либо субъективной величиной, зависит от уровней (вероятностей) угроз и уязвимостей:

Pпроисшествия=Pугрозы x Pуязвимости

Соответственно, риск определяется следующим образом:

РИСК = Pугрозы x Pуязвимости x ЦЕНА ПОТЕРИ. [2.79]

Так же один из подходов оценки риска – это оценка произведений возможных ущербов, взвешенных с учётом их вероятностей. Отсюда проведём оценку риска и защищённости атакуемой системы. Из подверженных ИУВ при количестве успехов k. [4]




На основании биномиального распределения вероятностей наступления ущерба получим риск

Защищённость системы (эффективность защиты) можно оценить по относительному и абсолютному показателям.

Абсолютный показатель защищённости:

Относительный показатель защищённости:

,

где n - количество личностей, подвергающихся атаки;

р0 - элементарная вероятность нанесения ущерба от одной реализации угрозы (0< р <1);

Поданной формуле увеличение параметра n и уменьшение p0 приводит к возрастанию защищённости, уменьшение n и увеличение p0 к его снижению. [1]

Найдем риски, связанные с FraudTool:

Риск 1: Утечка данных о кредитной карте:

В среднем лишь в 3 случаях из 5 с р0=0,36 осуществляется утечка данных. Вычислим риск 1:

Risk= 0,6*C35*(0,36)3(1-0,36)2 = 0,6*10*0,1296*(0,64)2 = 0,3185 = 31,85%

60% > Risk(1) > 30 % => уровень риска – средний.

Риск 2: Потеря контроля над финансовыми средствами на карте

По статистическим данным, как и в случае 1, в 3 из 5 случаях происходит потеря контроля с р0=0,4. Найдем риск.

Risk(2) = 0,6*С35*(0,4)3*(1-0,4)2 = 0,6*10*0,064*0,36 = 0,13824 = 13,824%

Risk(2) < 30 % => уровень риска – низкий.

Риск 3: Потеря финансовых средств

Согласно исследованиям, потеря финансовых средств происходит в 6 из 7 случаях с вероятностью р0=0,3. Найдем Риск 3.

Risk(3)= 0,71*C67*0,7*(1-0,7)2 = 0,71*7*0,7*0,09 = 0,4473 = 31,311%

30% < Risk(3) < 65% => уровень риска – средний

Риск 4: Возможность изменения пин-кода карты

Согласно приведенным данным, изменения пин-кода карты происходит в 4 из 6 случаях с вероятностью р0=0,36. Найдем Риск 4.

Risk(4)= 0,83*C46*(0,36)2*(1-0,36)2 = 0,83*15*(0,36)2*(0,64)2=0,6608 = 66,08%

Risk(3) > 65% => уровень риска – высокий

Риск 5: Блокировка карты

Блокировка карты осуществляется значительно реже других рисков, чаще по инициативе самих владельцев, в связи с рисками 1-4. Но злоумышленники, так же могут прибегнуть к такому способу лишения средств, поэтому найдем этот риск. Таковое происходит в 1 из 3 случаев с вероятностью р0=0,4. Вычислим Риск 5.

Risk(5)= 0,33*C13*0,16*(1-0,4)2 = 0,33*3*0,16*0,36 = 0,1140 = 11,40%

Risk(5) < 30% => уровень риска – низкий

Исходя из вышеприведенных расчетов, получим следующие результаты:

Таблица 1. Риски

Негативное событие (%) Уровень риска
Утечка данных о кредитной карте 31,85 Средний
Потеря контроля над финансовыми средствами на карте 13,824 Низкий
Потеря финансовых средств 31,311 Средний
Возможность изменения пин-кода карты 66,08 Высокий
Блокировка карты 11,40 Средний

 

 

Таблица 2. Показатели защищенности

Риск Абсолютный показатель защищенности (zабс= 1 - р0) Относительный показатель защищенности (zотн=(n/р0 -1)
Risk(1) 0,64 2,78
Risk(2) 0,6 11,5
Risk(3) 0,7 3,3
Risk(4) 0,24 6,9
Risk(5) 0,6 6,5

 


 

Меры противодействия

 

Если вы не использовали любой антивирусной программы для защиты компьютера от вирусов и он заражается данной вредоносной программой, выполните действия, перечисленные ниже, чтобы удалить его:

1.Введите «Y98REW-T65FD5-U1VBF4A» код в поле «Регистрационный ключ:» и любой адрес электронной почты в поле «Регистрация E-Mail:». После этого троянец не будет блокировать начало программы.

2.Если ключ активации не совпадает, запустите Windows в безопасном режиме (в начале запуска, нажмите и удерживайте клавишу F8, а затем выберите пункт Safe Mode из меню автозагрузки Windows).

3.Удалить оригинальный файл троянца (его имя и местоположение файла зависит от того, куда троянец попал на компьютер пользователя).

4.Удалить следующие ключи реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]

«Security Protection» = <path to a malicious file>

5. Очистить папку «Temporary Internet Files», которая содержит зараженные файлы.

6.Выполнить полную проверку компьютера с помощью антивирусной программы с обновляемой базой данных. [5]


 

 



12




Не нашли, что искали? Воспользуйтесь поиском по сайту:



©2015 - 2024 stydopedia.ru Все материалы защищены законодательством РФ.