Троянец-шпион для бухгалтеров
Компания «Доктор Веб» сообщала о результатах исследования ее специалистами троянца-дроппера Trojan.MulDrop6.44482 (образец был предоставлен для изучения компанией «Яндекс»). Программа предназначена для распространения других троянцев, в том числе опасного шпиона, угрожающего бухгалтериям российских компаний.
Trojan.MulDrop6.44482 распространяется в виде приложения-установщика, которое при запуске проверяет наличие на инфицируемом компьютере антивирусов Dr.Web, Avast, ESET или Kaspersky: если они обнаруживаются, троянец завершает работу. Он также прекращает работу, если локализация Windows отличается от русской. В остальных случаях вредоносная программа сохраняет на диск архиватор 7z и защищенный паролем архив, из которого затем извлекает файлы по одному. В этом архиве содержится несколько программ и динамических библиотек, имеющих разное назначение. Одно из приложений, которое распаковывает и запускает Trojan.MulDrop6.44482, детектируется антивирусом Dr.Web под именем Trojan.Inject2.24412, оно предназначено для встраивания в запускаемые на зараженном компьютере процессы своих библиотек. Другая программа из комплекта Trojan.MulDrop6.44482, под названием Trojan.PWS.Spy.19338, – это троянец-шпион, способный передавать киберпреступникам набираемый пользователем текст в окнах различных приложений, в том числе бухгалтерских.
Trojan.PWS.Spy.19338 запускается непосредственно в памяти атакуемого компьютера без сохранения на диск в расшифрованном виде (на диске хранится его зашифрованная копия). Основное предназначение троянца – логирование нажатий клавиш в окнах ряда приложений и сбор информации об инфицированной системе. Кроме того, фиксирующий нажатия клавиш модуль-кейлоггер может передавать злоумышленникам данные из буфера обмена инфицированного компьютера. Также Trojan.PWS.Spy.19338 может запускать на зараженном ПК получаемые с управляющего сервера программы как с промежуточным сохранением их на диск, так и без него. Троянец состоит из нескольких модулей, каждый из которых выполняет собственный набор функций.
Вся информация, которой Trojan.PWS.Spy.19338 обменивается с управляющим сервером, шифруется в два этапа, сначала с использованием алгоритма RC4, затем – XOR. Записи о нажатиях клавиш троянец сохраняет на диске в специальном файле и с интервалом в минуту передает его содержимое на управляющий сервер. Вместе с кодами самих нажатых клавиш Trojan.PWS.Spy.19338 отсылает злоумышленникам и название окна, в котором произошло нажатие.
Троянец отслеживает активность пользователя в следующих приложениях: «1С» версий 7, 7.7 и 8; «СБиС++»; Skype; Microsoft Word, Excel, Outlook, Outlook Express и Windows Mail; Mozilla Thunderbird. Помимо этого троянец собирает информацию о подключенных к компьютеру устройствах для работы с картами Smart Card. Отдельные модули Trojan.PWS.Spy.19338 позволяют передавать злоумышленникам данные об ОС инфицированного компьютера.
Все упомянутые вредоносные программы, подчеркивают в компании, детектируются и удаляются антивирусом Dr.Web.