29 Марта 2024
В избранные Сделать стартовой Подписка Портал Объявления
Технологии
Обнаружен новый троян, атакующий только компьютеры россиян
06.07.2016

Специалисты обнаружили новую троянскую программу, которая поражает компьютеры исключительно российских пользователей. Как сообщает "Газета.ru", речь идет о троянце-дроппере Trojan.MulDrop6.44482.

По данным сайта антивируса "Доктор Веб", эта вредоносная программа предназначена для распространения других троянцев, в том числе опасного шпиона Trojan.PWS.Spy.19338, способного передавать киберпреступникам набираемый пользователем текст в окнах различных приложений, в том числе бухгалтерских. Среди этих программ значатся 1C, Skype, СБиС, а также программы из пакета Microsoft Office.

Как выяснили специалисты, Trojan.MulDrop6.44482 попадает на компьютер в виде приложения-установщика. При запуске он проверяет наличие на компьютере антивирусов, и если таковые есть, то завершает свою работу. Также он прекращает работу, если локализация Windows отличается от русской. В остальных случаях эта вредоносная программа сохраняет на диск архиватор 7z и защищенный паролем архив, из которого затем извлекает по одному файлы, среди которых представлены и другие трояны.

Один из них - Trojan.Inject2.24412 - предназначен для встраивания в запускаемые на зараженном компьютере процессы вредоносных библиотек. Другой - Trojan.PWS.Spy.19338 - является троянцем-шпионом. Он запускается непосредственно в памяти атакуемого компьютера без сохранения на диск в расшифрованном виде, при этом на диске хранится его зашифрованная копия.

Основное предназначение этого троянца - логирование нажатий клавиш в окнах ряда приложений и сбор информации об инфицированной системе. Кроме того, фиксирующий нажатия клавиш модуль-кейлоггер может передавать злоумышленникам данные из буфера обмена инфицированного компьютера. Также Trojan.PWS.Spy.19338 может запускать на зараженном ПК получаемые с управляющего сервера программы как с промежуточным сохранением их на диск, так и без него.

Вся информация, которой Trojan.PWS.Spy.19338 обменивается с управляющим сервером, шифруется в два этапа, сначала с использованием алгоритма RC4, затем - XOR. Записи о нажатиях клавиш троянец сохраняет на диске в специальном файле и с интервалом в минуту передает его содержимое на управляющий сервер. Вместе с кодами самих нажатых клавиш Trojan.PWS.Spy.19338 отсылает злоумышленникам и название окна, в котором произошло нажатие.

Помимо этого, троянец собирает информацию о подключенных к компьютеру устройствах для работы с картами Smart Card. Отдельные модули Trojan.PWS.Spy.19338 позволяют передавать злоумышленникам данные об операционной системе инфицированного компьютера.

Как рассказал "Газете.Ru" аналитик компании "Доктор Веб" Павел Шалин, исследованный образец злоумышленники скомпилировали 4 июня 2016 года, однако первый похожий семпл был обнаружен еще в мае 2015-го. Кроме того, аналитик отметил, что случаи заражения компьютеров по "национальному" признаку - достаточно частая практика. В данном случае заметна нацеленность на программы компании 1С, которые широко представлены именно в странах СНГ. Отсеивание по русскому языку ОС позволяет хакерам не тратить время и внимание на тех клиентов, через которых они не могут совершить мошенничество.


 
Количество просмотров:
556
Отправить новость другу:
Email получателя:
Ваше имя:
 
Рекомендуем
Обсуждение новости
 
 
© 2000-2024 PRESS обозрение Пишите нам
При полном или частичном использовании материалов ссылка на "PRESS обозрение" обязательна.
Мнение редакции не всегда совпадает с мнением автора.