Особенности киберпреступлений в России: инструменты нападения и защиты информации (Масалков) - страница 45

Учитывая, что большинство подобных мошеннических действий осуществляется аккурат перед выходными и праздниками, у злоумышленников в распоряжении имеется достаточное количество времени для совершения нескольких последующих переводов и обналичивания средств.

В результате дальнейшего изучения носителя информации выявлено, что среди удаленных файлов на компьютере бухгалтера находилась директория C: \DOCUME~1\Admin\LOCALS~1\Temp\ TeamViewer\Version6\, содержащая файлы программы удаленного доступа TeamViewer[36] (рис. 2.4).

Рис. 2.4. Информация об удаленных файлах

Поиск среди восстанновленных файлов вредоносного программного обеспечения дал следующий результат[37]:

\A0120701.exe

RemoteAdmin.Win32.Agent.gen

\WINDOWS\system\wmiprvse.exe

RemoteAdmin.Win32.Agent.gen

WINDOWS\system\wmiadap.exe

RemoteAdmin.Win32.Agent.gen

\A0112433.exe

Trojan-Spy.Win32.Teamspy.ca

\Documents and Settings\Admin\Pa6°4KM стол\AA_v3.4.exe RemoteAdmin.Win32.Ammyy.xkg\Documents and Settings\Admin\Application Data\TeamViewerUpdate\2.exe Trojan-Spy.Win32.Teamspy.ca

Анализ файловой структуры и событий в операционной системе показал, что в директории \Documents and Settings\Admm\AppHcation Data\Div\ в период инцидента были созданы следующие файлы (рис. 2.5):

Рис 2.5.Скрытые файлы в директории \Div\

avicap32.dll

cfmon.exe

scankey.pg

TeamViewer_Desktop.exe

TeamViewer_Resource_en.dll

tv.cfg

tv_w32.dll

tv_w32.exe

tv_x64.dll

tv_x64.exe

Среди них также была обнаружена вредоносная программа:

\Documents and Settings\Admin\Application Data\Div\avicap32.dll Backdoor.Win32.TeamBot.z

Обнаруженная разновидность бэкдора (Backdoor.Win32.TeamBot) обладает возможностью управлять файлами и папками на зараженных компьютерах, а также использовать широко распространенные средства удаленного администрирования TeamViewer. Для атаки используется программа удаленного администрирования, распространяемая совместно с вредоносным dll-файлом и зашифрованными в файле конфигурации параметрами для подключения к серверу управления.

Несколько версий программ удаленного доступа может натолкнуть на мысль о том, что кто-либо из сотрудников установил на компьютер указанное ПО и, выбрав удобное время, провел несанкционированные операции.

Анализ журналов операционной системы выявил, что появление вредоносных файлов на компьютере началось одновременно с обращением пользователя к файлам с наименованиями:

— «письмо налогоплательщикам_7dd599820d…»,

— «Рассылка_ИФНС_23129е60с107…».

В результате проведенного анализа компьютера главного бухгалтера в директории «Documents and Settings\Admin\Application Data\ Div\» обнаружены скрытые файлы: avicap32.dll, cfmon.exe, scankey.pg, TeamViewer_Desktop.exe, TeamViewer_Resource_en.dll, tv.cfg, tv_w32. dll, tv_w32.exe, tv_x64.dll, tv_x64.exe, среди которых находится программа удаленного доступа TeamViewer Remote Control Application, замаскированная под системный процесс операционной системы cfmon.exe (языковая панель) и avicap32.dll, относящаяся к вредоносным программам типа «Backdoor».