Специализированный троянец для пользователей ПО SAP
Компания «Доктор Веб» сообщила подробности о вредоносной программе, угрожающей пользователям комплекса программных решений SAP для бизнеса. Это ПО – представитель распространенного семейства банковских троянцев Trojan.PWS.Ibank, способных похищать вводимые пользователем пароли и другую конфиденциальную информацию.
Специалисты «Доктор Веб» провели комплексное исследование этой угрозы. От других вредоносных программ семейства Trojan.PWS.Ibank образец отличается видоизмененной архитектурой бота; были также внесены изменения в механизмы межпроцессорного взаимодействия (IPC), упразднена подсистема SOCKS5. Практически неизменными остались используемый троянцем внутренний алгоритм шифрования, реализация полезной нагрузки в виде отдельной динамической библиотеки, а также протокол общения с командным центром злоумышленников.
Модуль установки троянца обладает функционалом, позволяющим определить попытку запуска вредоносной программы в отладочной среде или виртуальной машине, чтобы затруднить ее исследование. Проводится и проверка на выполнение в изолированной среде «песочницы» Sandboxie — утилиты для контроля за работой различных программ. Троянец способен действовать как в 32-, так и в 64-разрядных версиях Microsoft Windows, используя различные способы внедрения в ОС. Основной модуль троянца по сравнению с предыдущими версиями Trojan.PWS.Ibank способен выполнять две новые команды – одна из них активирует/дезактивирует блокировку банковских клиентов, другая позволяет получить от управляющего сервера конфигурационный файл.
Важная отличительная особенность троянца Trojan.PWS.Ibank – его способность встраиваться в различные работающие процессы. Обновленная версия получила дополнительный функционал, позволяющий проверять имена запущенных программ, в том числе клиента SAP. Комплекс бизнес-приложений SAP для управления предприятием включает множество модулей, в том числе компоненты управления налогообложением, сбытом, товарооборотом, и потому оперирует конфиденциальной информацией, весьма чувствительной для коммерческих предприятий. Первая версия троянца, проверявшего наличие SAP в инфицированной системе, получила распространение еще в июне: она была добавлена в базы Dr.Web под именем Trojan.PWS.Ibank.690 (текущая имеет обозначение Trojan.PWS.Ibank.752).
Как известно, троянцы Trojan.PWS.Ibank обладают широким набором вредоносных функций, среди которых похищение вводимых пользователем паролей; создание препятствий для доступа к сайтам антивирусных компаний; выполнение команд, поступающих от удаленного командного сервера; организация на инфицированном компьютере прокси-сервера и VNC-сервера; уничтожение по команде ОС и загрузочных областей диска.
Существенно, что пока троянцы семейства Trojan.PWS.Ibank не предпринимают деструктивных действий в отношении программного комплекса SAP, но проверяют факт его наличия в инфицированной системе и пытаются встроиться в соответствующий процесс, если он запущен в Windows. Вполне возможно, считают в «Доктор Веб», что таким образом вирусописатели создают для себя задел на будущее.