Самораспространяющийся банковский вирус Bolik

По сообщению компании «Доктор Веб», ее вирусные аналитики в июне завершили исследование нового опасного вируса, который способен красть деньги со счетов клиентов российских банков, похищать конфиденциальную информацию и различными способами шпионить за своей жертвой. Вирус наследует некоторые технические решения широко известных банковских троянцев Zeus (Trojan.PWS.Panda) и Carberp, но в отличие от них умеет распространяться без участия пользователя и заражать исполняемые файлы. Помимо всего прочего, его крайне сложно вывести с зараженного компьютера: лечение может занимать несколько часов. Вредоносная программа получила наименование Trojan.Bolik.1.

Программы, способные самостоятельно распространяться без участия пользователя и заражать исполняемые файлы, называют полиморфными файловыми вирусами. Умение распространяться самостоятельно и инфицировать программы аналитики считают наиболее опасным свойством банкера Trojan.Bolik.1. Функция самораспространения активируется по команде злоумышленников, после чего троянец начинает опрашивать доступные для записи папки в сетевом окружении Windows и на подключенных USB-устройствах, ищет хранящиеся там исполняемые файлы и заражает их (он может инфицировать как 32-, так и 64-разрядные приложения).

Зараженные вирусом программы детектируются Антивирусом Dr.Web под именем Win32.Bolik.1. Внутри каждой такой программы хранится в зашифрованном виде сам банковский троянец Trojan.Bolik.1 и необходимая вирусу информация. Если пользователь запустит на своем компьютере инфицированное приложение, вирус расшифрует банковского троянца Trojan.Bolik.1 и запустит его прямо в памяти атакуемого компьютера, без сохранения на диск. При этом вирус имеет специальный встроенный механизм, позволяющий «на лету» изменять код и структуру собственной части, отвечающей за расшифровку. Таким образом вирусописатели пытаются затруднить его обнаружение антивирусными программами. Кроме того, Win32.Bolik.1 пытается противодействовать антивирусам, умеющим пошагово выполнять вредоносные программы в специальном эмуляторе, — в архитектуре этого вируса предусмотрены своеобразные «замедлители», состоящие из множества циклов и повторяющихся инструкций.

От Carberp Trojan.Bolik.1 унаследовал виртуальную файловую систему, которая хранится в специальном файле. Этот файл троянец размещает в одной из системных директорий или в папке пользователя. Виртуальная файловая система позволяет вредоносной программе скрыто хранить на зараженном компьютере нужную ей для работы информацию. У Zeus Trojan.Bolik.1 позаимствовал механизм встраивания в просматриваемые пользователями Web-страницы постороннего содержимого, т. е. реализацию технологии Web-инжектов. С ее помощью злоумышленники похищают логины и пароли для доступа к системам «банк-клиент» и другую ценную информацию. Trojan.Bolik.1 ориентирован прежде всего на кражу информации у клиентов российских банков – об этом свидетельствуют характерные строчки в конфигурационном файле, передаваемом вирусу с управляющего сервера.

Для кражи информации Trojan.Bolik.1 может, например, контролировать данные, передаваемые и отправляемые браузерами Microsoft Internet Explorer, Chrome, Opera и Mozilla Firefox. Благодаря этому троянец способен похищать информацию, которую пользователь вводит в экранные формы. Кроме того, в арсенале банкера есть модуль для создания скриншотов и фиксации нажатий клавиш (кейлоггер). Trojan.Bolik.1 также умеет создавать на зараженной машине собственный прокси-сервер и Web-сервер, позволяющий обмениваться файлами со злоумышленниками. Нужные файлы программа может найти по заданной в специальной команде маске. Как и некоторые другие банковские троянцы, Trojan.Bolik.1 в состоянии организовывать «реверсные соединения» — с их помощью киберпреступники получают возможность общаться с зараженным компьютером, находящимся в защищенной брандмауэром сети или не имеющим внешнего IP-адреса, т. е. работающим в сети с использованием NAT (Network Address Translation). Вся информация, которой Trojan.Bolik.1 обменивается с управляющим сервером, шифруется по сложному алгоритму и сжимается.

Как отмечают в компании «Доктор Веб», функциональные возможности Trojan.Bolik.1 весьма широки, а его внутренняя архитектура сложна и неоднозначна. Антивирус Dr.Web детектирует и удаляет все компоненты вируса, однако в связи с некоторыми особенностями его внутреннего устройства лечение зараженного компьютера может занять длительное время.