Будьте внимательны. Обнаружен новый троян, атакующий только компьютеры россиян

Специалисты обнаружили новую троянскую программу, которая поражает компьютеры исключительно российских пользователей. Речь идет о троянце-дроппере Trojan.MulDrop6.44482. По данным сайта антивируса "Доктор Веб", эта вредоносная программа предназначена для распространения других троянцев, в том числе опасного шпиона Trojan.PWS.Spy.19338, способного передавать киберпреступникам набираемый пользователем текст в окнах различных приложений, в том числе бухгалтерских. Среди этих программ значатся 1C, Skype, СБиС, а также программы из пакета Microsoft Office.

Как выяснили специалисты, Trojan.MulDrop6.44482 попадает на компьютер в виде приложения-установщика. При запуске он проверяет наличие на компьютере антивирусов, и если таковые есть, то завершает свою работу. Также он прекращает работу, если локализация Windows отличается от русской. В остальных случаях эта вредоносная программа сохраняет на диск архиватор 7z и защищенный паролем архив, из которого затем извлекает по одному файлы, среди которых представлены и другие трояны.

Один из них - Trojan.Inject2.24412 - предназначен для встраивания в запускаемые на зараженном компьютере процессы вредоносных библиотек. Другой - Trojan.PWS.Spy.19338 - является троянцем-шпионом. Он запускается непосредственно в памяти атакуемого компьютера без сохранения на диск в расшифрованном виде, при этом на диске хранится его зашифрованная копия. Основное предназначение этого троянца - логирование нажатий клавиш в окнах ряда приложений и сбор информации об инфицированной системе.
 
Кроме того, фиксирующий нажатия клавиш модуль-кейлоггер может передавать злоумышленникам данные из буфера обмена инфицированного компьютера. Также Trojan.PWS.Spy.19338 может запускать на зараженном ПК получаемые с управляющего сервера программы как с промежуточным сохранением их на диск, так и без него.

Вся информация, которой Trojan.PWS.Spy.19338 обменивается с управляющим сервером, шифруется в два этапа, сначала с использованием алгоритма RC4, затем - XOR. Записи о нажатиях клавиш троянец сохраняет на диске в специальном файле и с интервалом в минуту передает его содержимое на управляющий сервер. Вместе с кодами самих нажатых клавиш Trojan.PWS.Spy.19338 отсылает злоумышленникам и название окна, в котором произошло нажатие.

Помимо этого, троянец собирает информацию о подключенных к компьютеру устройствах для работы с картами Smart Card. Отдельные модули Trojan.PWS.Spy.19338 позволяют передавать злоумышленникам данные об операционной системе инфицированного компьютера.

Как рассказал "Газете.Ru" аналитик компании "Доктор Веб" Павел Шалин, исследованный образец злоумышленники скомпилировали 4 июня 2016 года, однако первый похожий семпл был обнаружен еще в мае 2015-го. Кроме того, аналитик отметил, что случаи заражения компьютеров по "национальному" признаку - достаточно частая практика. В данном случае заметна нацеленность на программы компании 1С, которые широко представлены именно в странах СНГ. Отсеивание по русскому языку ОС позволяет хакерам не тратить время и внимание на тех клиентов, через которых они не могут совершить мошенничество.
 
6 июля 2016   Просмотров: 4 101   
6 июля 2016 22:01

оооооййййййййй, ребята ... забудьте про существование Операционной Системы Windows. она всегда кроме вирусов и прочих уязвимостей имела системные дыры (еще со времен первой Windows, когда к Биллу Гейтцу наведывались ФБР и прочие чтобы тот сделал BackDoor-ы для их тайной деятельности), через которые можно утащить все что угодно с вашего компа или получить полный доступ к некоторым ресурсам компьютера или права уровня Root (даже не администратора). Windows must die. хотя бы на убунте сидите в инете. и не под администратором а под обычным пользователем, ибо даже если RootKit и прилетит в систему то без прав он не "включится". система его не пропустит. а Windows полностью отключите от интернета. ставьте 2 ОС на комп как вариант. инет - Ubuntu (Xubuntu), все остальное - Windows без инета

  Жалоба      1
-->