Обнаружен вирус, поражающий компьютеры исключительно русских пользователей
Специалисты обнаружили новую троянскую программу, которая поражает компьютеры исключительно пользователей с русифицированными версиями Windows, пишет Delfi Techlife.
Как сообщает "Газета.ru", речь идет о троянце-дроппере Trojan.MulDrop6.44482. По данным сайта антивируса "Доктор Веб", эта вредоносная программа предназначена для распространения других троянцев, в том числе — опасного шпиона Trojan.PWS.Spy.19338, способного передавать киберпреступникам набираемый пользователем текст в окнах различных приложений, в том числе бухгалтерских. Среди этих программ значатся 1C, Skype, СБиС, а также программы из пакета Microsoft Office.
Как выяснили специалисты, Trojan.MulDrop6.44482 попадает на компьютер в виде приложения-установщика. При запуске он проверяет наличие на компьютере антивирусов и, если таковые есть, то завершает свою работу. Также он прекращает работу, если локализация Windows отличается от русской. В остальных случаях эта вредоносная программа сохраняет на диск архиватор 7z и защищенный паролем архив, из которого затем извлекает по одному файлы, среди которых представлены и другие трояны.
Один из них — Trojan.Inject2.24412 — предназначен для встраивания в запускаемые на зараженном компьютере процессы вредоносных библиотек. Другой — Trojan.PWS.Spy.19338 — является троянцем-шпионом. Он запускается непосредственно в памяти атакуемого компьютера без сохранения на диск в расшифрованном виде, при этом на диске хранится его зашифрованная копия. Основное предназначение этого троянца — логирование нажатий клавиш в окнах ряда приложений и сбор информации об инфицированной системе. Кроме того, фиксирующий нажатия клавиш модуль-кейлоггер может передавать злоумышленникам данные из буфера обмена инфицированного компьютера. Также Trojan.PWS.Spy.19338 может запускать на зараженном ПК получаемые с управляющего сервера программы как с промежуточным сохранением их на диск, так и без него.
Вся информация, которой Trojan.PWS.Spy.19338 обменивается с управляющим сервером, шифруется в два этапа, сначала с использованием алгоритма RC4, затем — XOR. Записи о нажатиях клавиш троянец сохраняет на диске в специальном файле и с интервалом в минуту передает его содержимое на управляющий сервер. Вместе с кодами самих нажатых клавиш Trojan.PWS.Spy.19338 отсылает злоумышленникам и название окна, в котором произошло нажатие.
Помимо этого троянец собирает информацию о подключенных к компьютеру устройствах для работы с картами Smart Card. Отдельные модули Trojan.PWS.Spy.19338 позволяют передавать злоумышленникам данные об операционной системе инфицированного компьютера.
Как рассказал "Газете.Ru" аналитик компании "Доктор Веб" Павел Шалин, исследованный образец злоумышленники скомпилировали 4 июня 2016 года, однако первый похожий семпл был обнаружен еще в мае 2015-го. Кроме того, аналитик отметил, что случаи заражения компьютеров по "национальному" признаку достаточно частая практика. В данном случае заметна нацеленность на программы компании 1С, которые широко представлены именно в странах СНГ. Отсеивание по русскому языку ОС позволяет хакерам не тратить время и внимание на тех клиентов, через которых они не могут совершить мошенничество.