Компания «Доктор Веб» предостерегает общественность о широком распространении новой троянской программы, атакующей пользователей платформы SAP (программный комплекс для бизнеса). Вредоносная утилита относится к семейству банковских вирусов Trojan.PWS.Ibank, которые способны перехватывать пароли, вводимые пользователем в различные формы, и другую персональную информацию.
Специалисты уже провели комплексный анализ обнаруженного вируса. По сравнению с предыдущими представителями популярного семейства, новая версия троянской программы имеет другую архитектуру модуля бота и измененный механизм IPC (модуль межпроцессорного взаимодействия). Остальные компоненты (алгоритм шифрования, протокол связи с внешним сервером и реализация полезной нагрузки) практически не изменились.
Модуль инсталляции троянского приложения способен выявлять попытки запуска вируса в виртуальной среде, что осложняет ее анализ. Производится также проверка на запуск в среде Sandboxie («песочница»), которая также позволяет контролировать работу приложений. Основной модуль троянского приложения способен теперь выполнять две новые функции (по сравнению с более ранними версиями вируса Trojan.PWS.Ibank) – загрузка конфигурационного файла и выключение/включение блокировки банковской программы.
Новая модификация способна получать список активных в данный момент приложений, включая клиент SAP. Данный бизнес-пакет содержит большое количество модулей, включая приложения для работы с товарооборотом, налогообложением, сбытом, и потому хранит и оперирует персональной информацией.
Специалисты отметили, что первая версия троянской программы, проверяющая установку SAP в зараженном ПК, получила распространение в середине 2013 года. В компании также рассказали, что вирусы Trojan.PWS.Ibank имеют большое количество вредоносных функций, например:
- кража паролей;
- выполнение команд с внешнего сервера;
- полная блокировка доступа к ресурсам крупных антивирусных компаний;
- организация на зараженном компьютере полноценного сервера VNC и прокси-сервера
- выполнение команды уничтожения Windows и загрузочных областей накопителя.
При этом специалисты отметили, что в данный момент вредоносное приложение не производит никаких деструктивных действий против SAP, просто проверяя его наличие и делая попытку встроить свой код в соответствующий программе процесс (если он активен). При использовании материалов сайта активная ссылка на Доска бесплатных объявлений./ обязательна.

Подписаться на статьи: