"Лаборатория Касперского" обнаружила банковский руткит для 64-битных систем

«ЛК» обнаружила зловредный банковский руткит, уготованный для 64 разрядных систем.Он размножается во время drive-by атак, которые исходят с подачи бразильских киберзлоумышленников.

Первый раз Java-апплет был обнаружен на одном из бразильских сайтов. В процессе drive-by атак происходило массовое заражение пользователей, у которых были установлены старые модификации Java Runtime Environment (32 или 64 разряд ) – заявляет антивирусная компания.

Схема вредоносной атаки весьма упрощена, но достаточно интересна. При кибератаках первым делом отключаются учётные записи пользователя компьютера и привносятся изменения в реестр Windows.

Главная цель атаки – направить пользователя на домен, генерируемый фишинговые атаки. Файл cert_override.txt являет собой фальсифицированный цифровой сертификат, предназначенный для несуществующих центров сертификации, зафиксированных в системе зловредного Java-апплета.

Файл bcdedit.exe – утилита, придуманная Microsoft. Эта утилита копирует файлы в папку драйверов и регистрирует их в качестве активных драйверов при последующих перезагрузках компьютера. Подобная схема легко запускает вредоносный драйвер без цифровой подписи.

Вредоносные драйверы видоизменяют файл hosts, переадресовывают на веб-сайт фишинговых атак, удаляют файлы, без которых не может полноценно работать плагин безопасности.