«Доктор Веб» исследовал новый банковский троян для Windows

13 фев 2017 16:05 #52663 от ICT
Вирусные аналитики компании «Доктор Веб» исследовали нового банковского трояна, угрожающего пользователям операционной системы Microsoft Windows. Эта вредоносная программа создана вирусописателями на основе исходных кодов другого опасного «банкера» — Zeus (Trojan.PWS.Panda) — и получила наименование Trojan.PWS.Sphinx.2. Основное предназначение трояна заключается в выполнении веб-инжектов, сообщили CNews в «Доктор Веб». Троян встраивает в просматриваемые пользователем веб-страницы постороннее содержимое — например, поддельные формы для ввода логина и пароля, информация из которых передается злоумышленникам. Потенциальная жертва обычно не замечает подмены: URL интернет-ресурса в адресной строке браузера и оформление сайта остаются прежними, поддельная форма или текст добавляется на веб-страницу прямо на зараженном компьютере. При этом банковские трояны могут обворовывать клиентов множества кредитных организаций, поскольку данные для выполнения веб-инжектов они получают с управляющего сервера. Если пользователь зайдет на банковский сайт, адрес которого имеется в конфигурации троянца, тот встроит в веб-страницу заранее сформированный злоумышленниками контент. На следующей иллюстрации показан пример кода, который Trojan.PWS.Sphinx.2 встраивает в страницы сайта bankofamerica.com:
Вложенный файл:
При запуске Trojan.PWS.Sphinx.2 встраивается в работающий процесс программы «Проводник» (explorer.exe) и расшифровывает конфигурационный блок, в котором скрыт адрес управляющего сервера и ключ для шифрования принимаемых и отправляемых данных. Trojan.PWS.Sphinx.2 имеет модульную архитектуру: по запросу троян скачивает с сервера злоумышленников дополнительные плагины. Два из используемых банкером модулей предназначены для выполнения веб-инжектов в 32- и 64-разрядных версиях Windows, еще два — для запуска на зараженной машине VNC-сервера, с помощью которого киберпреступники могут подключаться к зараженному компьютеру. Кроме того, Trojan.PWS.Sphinx.2 скачивает и сохраняет на инфицированном компьютере набор утилит для установки корневого цифрового сертификата — киберпреступники используют его для организации атак по технологии MITM (Man in the middle, «человек посередине»). Кроме того, в составе трояна имеется так называемый граббер — функциональный модуль, перехватывающий и передающий на удаленный сервер информацию, которую пользователь вводит в формы на различных сайтах. Примечателен оригинальный способ автоматического запуска трояна на инфицированной машине: для этого используется сценарий на языке PHP и приложение-интерпретатор этого языка. Сценарий запускается с помощью ярлыка, который банкер помещает в папку автозагрузки. Всю необходимую для своей работы информацию троян хранит в зашифрованном виде в системном реестре Windows. Модули сохраняются в отдельном файле со случайным расширением, который тоже зашифрован. Антивирус Dr.Web детектирует и удаляет трояна Trojan.PWS.Sphinx.2, поэтому он не представляет опасности для пользователей продукта, подчеркнули в «Доктор Веб». Ссылка на источник


  • Сообщений: 103416

  • Пол: Не указан
  • Дата рождения: Неизвестно
  • Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    Мы в соц. сетях