«Доктор Веб» обнаружили новый банковский троянец
- Подробности
- Опубликовано 12.07.2012 13:08
«Доктор Веб» обнаружил новый банковский троянец BackDoor.Bebloh.17. Основными жертвами данной вредоносной программы являются пользователи систем дистанционного банковского обслуживания (ДБО). Троянец может красть информацию, перехватывая ее из заполняемых в браузере формах или встраивания своих элементов в страницы интернет-банков.
Троянец обычно распространяется с помощью массовых рассылок, в том числе и от имени компании DHL. При скачивании троянца, программа автоматически устанавливается в одну из системных папок (при этом оригинальный закаченный файл удаляется) и вносит изменения в реестр для последующего автозапуска при загрузке операционной системы.
При установке троянца исполняемый файл получает одно из следующих имен: win, video, def, mem, dns, setup, user, logon, hlp, mixer, pack, mon, srv, exec или play (возможны также включения дополнительных символов).
При инфицировании заражаются следующие программы и процессы:
Системные - winlogon.exe, svchost.exe и explorer.exe
Браузеры – IE, Firefox, Google Chrome, Opera, Safari и др.
FTP-клиенты – CoreFTP, FileZilla, TotalCMD, SmartFTP и др.
Почтовые программы – The Bat, Outlook, MS Messenger и др.
При этом постоянно проверяется наличие заражения во всех перечисленных процессах, при ее отсутствии происходит восстановление зараженных файлов и измененных значений реестра.
Троянец передает злоумышленникам информацию о зараженной системе (версия ОС, индексы обновлений), IP-адрес зараженной машины, зараженные процессы и т.д. Злоумышленник удаленно может отправить команду на обновление версии вируса или изменить параметры выведения дополнительных элементов в зараженном браузере.