Обнаружен новый троян, атакующий только компьютеры россиян

5 июля 2016 года

Специалисты обнаружили новую троянскую программу, которая поражает компьютеры исключительно российских пользователей. Как сообщает "Газета.ru", речь идет о троянце-дроппере Trojan.MulDrop6.44482.

По данным сайта антивируса "Доктор Веб", эта вредоносная программа предназначена для распространения других троянцев, в том числе опасного шпиона Trojan.PWS.Spy.19338, способного передавать киберпреступникам набираемый пользователем текст в окнах различных приложений, в том числе бухгалтерских. Среди этих программ значатся 1C, Skype, СБиС, а также программы из пакета Microsoft Office.

Как выяснили специалисты, Trojan.MulDrop6.44482 попадает на компьютер в виде приложения-установщика. При запуске он проверяет наличие на компьютере антивирусов, и если таковые есть, то завершает свою работу. Также он прекращает работу, если локализация Windows отличается от русской. В остальных случаях эта вредоносная программа сохраняет на диск архиватор 7z и защищенный паролем архив, из которого затем извлекает по одному файлы, среди которых представлены и другие трояны.

Один из них - Trojan.Inject2.24412 - предназначен для встраивания в запускаемые на зараженном компьютере процессы вредоносных библиотек. Другой - Trojan.PWS.Spy.19338 - является троянцем-шпионом. Он запускается непосредственно в памяти атакуемого компьютера без сохранения на диск в расшифрованном виде, при этом на диске хранится его зашифрованная копия. Основное предназначение этого троянца - логирование нажатий клавиш в окнах ряда приложений и сбор информации об инфицированной системе. Кроме того, фиксирующий нажатия клавиш модуль-кейлоггер может передавать злоумышленникам данные из буфера обмена инфицированного компьютера. Также Trojan.PWS.Spy.19338 может запускать на зараженном ПК получаемые с управляющего сервера программы как с промежуточным сохранением их на диск, так и без него.

Вся информация, которой Trojan.PWS.Spy.19338 обменивается с управляющим сервером, шифруется в два этапа, сначала с использованием алгоритма RC4, затем - XOR. Записи о нажатиях клавиш троянец сохраняет на диске в специальном файле и с интервалом в минуту передает его содержимое на управляющий сервер. Вместе с кодами самих нажатых клавиш Trojan.PWS.Spy.19338 отсылает злоумышленникам и название окна, в котором произошло нажатие.

Помимо этого, троянец собирает информацию о подключенных к компьютеру устройствах для работы с картами Smart Card. Отдельные модули Trojan.PWS.Spy.19338 позволяют передавать злоумышленникам данные об операционной системе инфицированного компьютера.

Как рассказал "Газете.Ru" аналитик компании "Доктор Веб" Павел Шалин, исследованный образец злоумышленники скомпилировали 4 июня 2016 года, однако первый похожий семпл был обнаружен еще в мае 2015-го. Кроме того, аналитик отметил, что случаи заражения компьютеров по "национальному" признаку - достаточно частая практика. В данном случае заметна нацеленность на программы компании 1С, которые широко представлены именно в странах СНГ. Отсеивание по русскому языку ОС позволяет хакерам не тратить время и внимание на тех клиентов, через которых они не могут совершить мошенничество.