«Доктор Веб» исследовал новый банковский троян для Windows
13 фев 2017 16:05 #52663
от ICT
ICT создал тему: «Доктор Веб» исследовал новый банковский троян для Windows
Вирусные аналитики компании «Доктор Веб» исследовали нового банковского трояна, угрожающего пользователям операционной системы Microsoft Windows. Эта вредоносная программа создана вирусописателями на основе исходных кодов другого опасного «банкера» — Zeus (Trojan.PWS.Panda) — и получила наименование Trojan.PWS.Sphinx.2. Основное предназначение трояна заключается в выполнении веб-инжектов, сообщили CNews в «Доктор Веб». Троян встраивает в просматриваемые пользователем веб-страницы постороннее содержимое — например, поддельные формы для ввода логина и пароля, информация из которых передается злоумышленникам. Потенциальная жертва обычно не замечает подмены: URL интернет-ресурса в адресной строке браузера и оформление сайта остаются прежними, поддельная форма или текст добавляется на веб-страницу прямо на зараженном компьютере. При этом банковские трояны могут обворовывать клиентов множества кредитных организаций, поскольку данные для выполнения веб-инжектов они получают с управляющего сервера. Если пользователь зайдет на банковский сайт, адрес которого имеется в конфигурации троянца, тот встроит в веб-страницу заранее сформированный злоумышленниками контент. На следующей иллюстрации показан пример кода, который Trojan.PWS.Sphinx.2 встраивает в страницы сайта bankofamerica.com:
При запуске Trojan.PWS.Sphinx.2 встраивается в работающий процесс программы «Проводник» (explorer.exe) и расшифровывает конфигурационный блок, в котором скрыт адрес управляющего сервера и ключ для шифрования принимаемых и отправляемых данных. Trojan.PWS.Sphinx.2 имеет модульную архитектуру: по запросу троян скачивает с сервера злоумышленников дополнительные плагины. Два из используемых банкером модулей предназначены для выполнения веб-инжектов в 32- и 64-разрядных версиях Windows, еще два — для запуска на зараженной машине VNC-сервера, с помощью которого киберпреступники могут подключаться к зараженному компьютеру. Кроме того, Trojan.PWS.Sphinx.2 скачивает и сохраняет на инфицированном компьютере набор утилит для установки корневого цифрового сертификата — киберпреступники используют его для организации атак по технологии MITM (Man in the middle, «человек посередине»). Кроме того, в составе трояна имеется так называемый граббер — функциональный модуль, перехватывающий и передающий на удаленный сервер информацию, которую пользователь вводит в формы на различных сайтах. Примечателен оригинальный способ автоматического запуска трояна на инфицированной машине: для этого используется сценарий на языке PHP и приложение-интерпретатор этого языка. Сценарий запускается с помощью ярлыка, который банкер помещает в папку автозагрузки. Всю необходимую для своей работы информацию троян хранит в зашифрованном виде в системном реестре Windows. Модули сохраняются в отдельном файле со случайным расширением, который тоже зашифрован. Антивирус Dr.Web детектирует и удаляет трояна Trojan.PWS.Sphinx.2, поэтому он не представляет опасности для пользователей продукта, подчеркнули в «Доктор Веб».
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Похожие статьи
Тема | Релевантность | Дата |
---|---|---|
"Доктор Веб" исследовал новый троян-шпион для Mac OS X | 25.37 | Среда, 04 марта 2015 |
«Доктор Веб» исследовал новый троян для Linux | 25.37 | Четверг, 03 декабря 2015 |
«Доктор Веб» исследовал Linux-троян, написанный на Rust | 21.31 | Четверг, 08 сентября 2016 |
«Доктор Веб» исследовал новый эксплойт для Microsoft Office | 18.66 | Четверг, 20 апреля 2017 |
Известный банковский троян начал подбираться к кодам Windows | 18.35 | Понедельник, 26 ноября 2018 |
Avast обнаружил новый банковский троян Catelites Bot | 17.79 | Четверг, 21 декабря 2017 |
Новый банковский троян угрожает южнокорейским пользователям Android | 17.6 | Пятница, 05 декабря 2014 |
Новый банковский троян крадет деньги россиян в обход защиты Android | 17.23 | Среда, 07 сентября 2016 |
«Доктор Веб» исследовал многокомпонентного троянца для Linux | 15.03 | Четверг, 25 мая 2017 |
«Доктор Веб» исследовал бэкдор, написанный на Python | 15.03 | Вторник, 17 октября 2017 |