«Доктор Веб» обнаружили новый банковский троянец

«Доктор Веб» обнаружил новый банковский троянец BackDoor.Bebloh.17. Основными жертвами данной вредоносной программы являются пользователи систем дистанционного банковского обслуживания (ДБО). Троянец может красть информацию, перехватывая ее из заполняемых в браузере формах или встраивания своих элементов в страницы интернет-банков.

Троянец обычно распространяется с помощью массовых рассылок, в том числе и от имени компании DHL. При скачивании троянца, программа автоматически устанавливается в одну из системных папок (при этом оригинальный закаченный файл удаляется) и вносит изменения в реестр для последующего автозапуска при загрузке операционной системы.

При установке троянца исполняемый файл получает одно из следующих имен: win, video, def, mem, dns, setup, user, logon, hlp, mixer, pack, mon, srv, exec или play (возможны также включения дополнительных символов).

При инфицировании заражаются следующие программы и процессы:

Системные - winlogon.exe, svchost.exe и explorer.exe

Браузеры – IE, Firefox, Google Chrome, Opera, Safari и др.

FTP-клиенты – CoreFTP, FileZilla, TotalCMD, SmartFTP и др.

Почтовые программы – The Bat, Outlook, MS Messenger и др.

При этом постоянно проверяется наличие заражения во всех перечисленных процессах, при ее отсутствии происходит восстановление зараженных файлов и измененных значений реестра.

Троянец передает злоумышленникам информацию о зараженной системе (версия ОС, индексы обновлений), IP-адрес зараженной машины, зараженные процессы и т.д. Злоумышленник удаленно может отправить команду на обновление версии вируса или изменить параметры выведения дополнительных элементов в зараженном браузере.

Компьютерный портал "Компаньон" © 2016.
В случае перепечатки материалов обязательна прямая ссылка на сайт cs-companion.ru.