Антивирусная база известного антивирусника «Доктор Веб» в течении января 2012 года пополнилась записями о нескольких вредоносных программах и троянских банковских вирусах.
Разговор ведется об очередном обновлении известного трояна Trojan.PWS.Ibank, который соответствует современным принципам развития и использования систем ДБО. Этот вирус дает своему владельцу возможность получать уникальные аутентификационные сведения, ключи и данные о конфигурации большого количества различных банк-клиентов.
Этот вирус примечателен тем, что он содержит в своем коде реализацию небольшого VNC-сервера, который может легко работать с выделенным сервером Zeus (dedicated), модификация Trojan.PWS.Panda, через сервер Zeus вирус дает возможность удаленно управлять компьютером. Еще одна интересная особенность этого трояна в том, что у него имеется модуль, разработанный для слежки и перехвата информации о действии специализированного комплекса программного обеспечения, которое используется на серверах одного из государственных банков РФ.
Как сообщается в пресс-релизе компании «Доктор Веб», технические характеристики и описание принципа действия нового вредного ПО переданы в правоохранительные органы.
Также в январе, специалистами компании «Доктор Веб» была замечена активность еще одного вируса, при помощи которого злоумышленники хотели совершить фишинговую атаку на один из крупнейших российских банков. После того, как вирус Trojan.Hosts.5590 попадает на новый компьютер, он создает на нем новый системный процесс explorer.exe, добавляет в него свой код, а потом прописывается в автозагрузку Windows с именем Eldesoft.exe/
Если пользователь авторизуется на сайте банка при помощи Microsoft Internet Explorer, троян инициирует запуск стандартной функции crypt32.dll? чтобы установить поддельный сертификат. Причем, когда система добавляет сертификат в системное хранилище и сообщает об этом пользователю, вирус перехватывает это сообщение и мгновенно закрывает окно.
В случае, если пользователь заходит на сайт банка через другой браузер, то чтобы установить сертификат вирус использует другую стандартную функцию, находящуюся в библиотеке nss.dll. После этого Trojan.Hosts.5590 устанавливает связь с удаленным центром управления, получает оттуда ini-файл, в котором содержится адрес фишингового сервера и имена доменов, которые трояну придется подменять. Затем, когда к сайту системы происходит подключение, банк-клиент используя защищенный протокол HTTPS, будет показывать клиенту фальшивую страницу банковского сайта, а данные которые он там введет, попадут к злоумышленникам.
Благодаря скоординированным и быстрым действиям службы безопасности банка и экспертов антивирусной лаборатории «Доктор Веб», этот вирус благополучно деактивирован, и сейчас никому не угрожает.
