«Доктор Веб» исследовал нового банковского троянца Trojan.Gozi
24 нояб 2017 18:40 #63760
от ICT
ICT создал тему: «Доктор Веб» исследовал нового банковского троянца Trojan.Gozi
Вирусные аналитики компании «Доктор Веб» исследовали новую версию вредоносной программы, относящейся к широко известному семейству Trojan.Gozi. Новый банковский троянец, получивший наименование Trojan.Gozi.64, основывается на исходном коде предшествующих версий Trojan.Gozi, который уже долгое время находится в свободном доступе. Как и другие представители этого семейства, Trojan.Gozi.64 может заражать компьютеры под управлением 32- и 64-разрядных версий Windows. Троянец имеет модульную архитектуру, но, в отличие от предыдущих модификаций, он полностью состоит из отдельных загружаемых плагинов. Также Trojan.Gozi.64 не имеет алгоритмов для генерации имен управляющих серверов — их адреса «зашиты» в его конфигурации, в то время как одна из первых версий Gozi использовала в качестве словаря текстовый файл, загружаемый с сервера NASA. Создатели троянца заложили в него ограничение, благодаря которому он способен работать с операционными системами Microsoft Windows 7 и выше, в более ранних версиях Windows вредоносная программа не запускается. Дополнительные модули скачиваются с управляющего сервера специальной библиотекой-лоадером, при этом протокол обмена данными использует шифрование. Лоадер Trojan.Gozi.64 может выполнять на зараженной машине следующие вредоносные функции: проверка обновлений троянца; загрузка с удаленного сервера плагинов для браузеров, с помощью которых выполняются веб-инжекты; загрузка с удаленного сервера конфигурации веб-инжектов; получение персональных заданий, в том числе для загрузки дополнительных плагинов; удаленное управление компьютером. Для осуществления веб-инжектов в каждом браузере Trojan.Gozi.64 использует собственный настраиваемый плагин. В настоящий момент вирусным аналитикам известны плагины для Microsoft Internet Explorer, Microsoft Edge, Google Chrome и Mozilla Firefox. Установив соответствующий модуль, троянец получает с управляющего сервера ZIP-архив с конфигурацией для выполнения веб-инжектов. В результате Trojan.Gozi.64 может встраивать в просматриваемые пользователем веб-страницы произвольное содержимое – например, поддельные формы авторизации на банковских сайтах и в системах банк-клиент. При этом, поскольку модификация веб-страниц происходит непосредственно на зараженном компьютере, URL такого сайта в адресной строке браузера остается корректным, что может ввести пользователя в заблуждение и усыпить его бдительность. Введенные в поддельную форму данные передаются злоумышленникам, в результате чего учетная запись жертвы троянца может быть скомпрометирована. Помимо этого на зараженный компьютер могут быть загружены и установлены дополнительные модули – в частности, плагин, фиксирующий нажатие пользователем клавиш (кейлоггер), модуль для удаленного доступа к инфицированной машине (VNC), компонент SOCKS-proxy-сервера, плагин для хищения учетных данных из почтовых клиентов и некоторые другие. Банковский троянец Trojan.Gozi.64 не представляет опасности для пользователей антивирусных продуктов Dr.Web, поскольку сигнатуры вредоносной программы и ее модулей добавлены в вирусные базы.
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Похожие статьи
Тема | Релевантность | Дата |
---|---|---|
«Доктор Веб» исследовал многокомпонентного троянца для Linux | 23.53 | Четверг, 25 мая 2017 |
«Лаборатория Касперского» зафиксировала рост активности банковского троянца Asacub | 15.74 | Пятница, 14 сентября 2018 |
Компонент банковского троянца скачивался с официального сайта московского центрального кольца | 15.57 | Вторник, 09 июля 2019 |
«Доктор Веб» представил инструкцию для пострадавших от Trojan.Encoder.12544 | 15.47 | Четверг, 29 июня 2017 |
«Доктор Веб»: расшифровка файлов, зашифрованных Trojan.Encoder.10465, возможна | 15.31 | Пятница, 17 марта 2017 |
"Доктор Веб" исследовал новый троян-шпион для Mac OS X | 15.03 | Среда, 04 марта 2015 |
«Доктор Веб» исследовал новый троян для Linux | 15.03 | Четверг, 03 декабря 2015 |
«Доктор Веб» исследовал бэкдор, написанный на Python | 15.03 | Вторник, 17 октября 2017 |
«Доктор Веб» исследовал Linux-троян, написанный на Rust | 14.86 | Четверг, 08 сентября 2016 |
«Доктор Веб» исследовал установщик нежелательного ПО и «неудаляемой» рекламы | 14.86 | Пятница, 16 декабря 2016 |