Поделиться
Новый троян крадет пароли популярных приложений и открывает доступ к ПК злоумышленникам
Компания «Доктор Веб» сообщила об обнаружении в Сети сложной многокомпонентной угрозы — трояна Trojan.PWS.Papras.4, обладающего чрезвычайно обширным вредоносным функционалом. Например, он способен красть пароли от множества популярных прикладных программ, передавать злоумышленникам содержимое заполняемых жертвой форм и открывать им возможность удаленного управления инфицированным компьютером, говорится в заявлении «Доктор Веб», поступившем в редакцию CNews.
Как пояснили специалисты компании, Trojan.PWS.Papras.4 представляет собой приложение, которое можно отнести к категории RAT (Remote Administration Tool, то есть средство удаленного администрирования). Оно позволяет злоумышленникам получить доступ к инфицированному компьютеру без ведома пользователя. Троян состоит из нескольких компонентов, одним из которых является дроппер, после своего запуска распаковывающий в одну из системных папок другой модуль — инжектор и, в зависимости от привилегий текущей учетной записи пользователя Windows, модифицирующий соответствующую ветвь системного реестра для добавления его в автозагрузку.
После успешного запуска инжектор извлекает и распаковывает основные модули троянской программы, а затем встраивает их во все запущенные процессы за исключением нескольких системных. При этом Trojan.PWS.Papras.4 имеет возможность инфицировать как 32-, так и 64-разрядные процессы, отметили в «Доктор Веб».
Троян обеспечивает работу на инфицированном компьютере нескольких функциональных модулей: один из них реализует функции VNC-севера, другой — сервера Socks Proxy. Еще один модуль позволяет встраивать в просматриваемые пользователем веб-страницы постороннее содержимое (веб-инжекты). Дополнительный модуль (Grabber) предназначен для передачи злоумышленникам содержимого заполняемых пользователем форм в браузерах Microsoft Internet Explorer, Mozilla Firefox и Google Chrome, а модуль Stealer — для хищения паролей от нескольких десятков популярных приложений, среди которых — почтовые клиенты, FTP-клиенты и ряд других программ. Наконец, модуль backconnect позволяет управлять инфицированной машиной, даже если она скрыта за шлюзом или брандмауэром.
Как выяснили в компании, Trojan.PWS.Papras.4 «умеет» выполнять следующие команды, получаемые с удаленного сервера: загрузить, сохранить, запустить указанное приложение; установить обновление вредоносной программы; передать на удаленный сервер файлы cookies браузеров Microsoft Internet Explorer, Mozilla Firefox и Google Chrome; экспортировать установленные на инфицированном ПК цифровые сертификаты и отправить их на удаленный сервер; передать на удаленный сервер список запущенных процессов; удалить на инфицированном ПК файлы cookies; включить запись в файл журнала; включить прокси-сервер; включить VNC-сервер; установить обновление вредоносной программы с цифровой подписью; запускать программы; записать значение в реестр или получить значение из реестра; выполнить поиск файлов на инфицированном компьютере.
По оценкам специалистов «Доктор Веб», данная вредоносная программа представляет серьезную опасность в силу наличия обширного функционала для хищения конфиденциальной информации, которая может быть использована злоумышленниками, в частности, для взлома интернет-ресурсов и учетных записей жертвы на различных сайтах. Вместе с тем, Trojan.PWS.Papras.4 детектируется и удаляется продуктами Dr.Web.
Поделиться
Короткая ссылка
