Новая версия банковского троянца Gozi
По сообщению компании «Доктор Веб», ее вирусные аналитики изучили модификацию банковского троянца Trojan.Gozi (исходные коды которого некоторое время назад были опубликованы в свободном доступе).
Программа, работающая на компьютерах под управлением 32- и 64-разрядных версий Windows, реализует чрезвычайно широкий набор функций. Trojan.Gozi позволяет похищать данные, которые пользователи вводят в различные экранные формы, фиксировать нажатия клавиш (кейлоггинг), умеет встраивать в просматриваемые на зараженном компьютере Web-страницы постороннее содержимое (выполнять Web-инжекты). Кроме того, с помощью Trojan.Gozi киберпреступники могут получить удаленный доступ к рабочему столу зараженной машины с использованием технологии Virtual Network Computing (VNC). Этот троянец по команде может запустить на инфицированном ПК прокси-сервер SOCKS, а также загружать и устанавливать различные плагины.
Как многие современные вредоносные программы, для определения адресов своих управляющих серверов Trojan.Gozi использует специальный алгоритм генерации доменов – Domain generation algorithm (DGA). Для этого он загружает с сервера NASA текстовый файл, используемый в качестве словаря, преобразует его с учетом текущей даты и на основе полученных значений формирует доменные имена, которые будет использовать в качестве адресов управляющих серверов. Trojan.Gozi автоматически меняет управляющий сервер каждые 15 дней. Вся информация, которой он обменивается со своими командными серверами, шифруется.
В отличие от предыдущих версий подобных вредоносных программ, Trojan.Gozi обладает возможностью формировать одноранговые ботнеты – обмениваться данными с другими зараженными машинами напрямую, посредством создания P2P-сети. Передаваемая таким образом информация также шифруется.
Благодаря достаточно большому набору шпионских функций, в первую очередь – возможности выполнять Web-инжекты, Trojan.Gozi может похищать на инфицированном компьютере конфиденциальную информацию, в том числе используемую для доступа к системам «банк-клиент». Вредоносная программа успешно детектируется антивирусным ПО Dr.Web.