| Главная » 2013 » Ноябрь » 7 » Обнаружен троянец, угрожающий пользователям SAP
21:18 Обнаружен троянец, угрожающий пользователям SAP |
Компания «Доктор Веб» предупреждает о распространении вредоносной
программы, угрожающей пользователям SAP — комплекса программных решений
для бизнеса. Данное вредоносное приложение является представителем
широко распространенного семейства банковских троянцев Trojan.PWS.Ibank,
способных похищать вводимые пользователем пароли и другую
конфиденциальную информацию.
По сравнению с другими вредоносными
программами семейства Trojan.PWS.Ibank, данный образец отличается
видоизмененной архитектурой бота, также были внесены изменения в
механизмы межпроцессорного взаимодействия (IPC), упразднена подсистема
SOCKS5. Вместе с тем, практически неизменным остался используемый
троянцем внутренний алгоритм шифрования, реализация полезной нагрузки в
виде отдельной динамической библиотеки, а также протокол общения с
командным центром злоумышленников.
Модуль установки троянца
обладает функционалом, позволяющим определить попытку запуска
вредоносной программы в отладочной среде или виртуальной машине, чтобы
затруднить её исследование специалистами. Также выполняется проверка на
выполнение в изолированной среде «песочницы» Sandboxie — утилиты для
контроля за работой различных программ. При этом троянец способен
действовать как в 32-битных, так и в 64-битных версиях Microsoft
Windows, используя различные способы внедрения в операционную систему.
Основной модуль троянца, способен выполнять две новые команды (по
сравнению с предыдущими версиями Trojan.PWS.Ibank) — одна из них
активирует/дезактивирует блокировку банковских клиентов, другая —
позволяет получить от управляющего сервера конфигурационный файл.
Еще
одной важной отличительной особенностью троянца Trojan.PWS.Ibank
является его способность встраиваться в различные работающие процессы, а
обновленная версия получила дополнительный функционал, позволяющий
проверять имена запущенных программ, в том числе клиента SAP — комплекса
бизнес-приложений, предназначенных для управления предприятием. Данный
программный комплекс включает множество модулей, в том числе, компоненты
управления налогообложением, сбытом, товарооборотом, и потому оперирует
конфиденциальной информацией, весьма чувствительной для коммерческих
предприятий.
Первая версия троянца, проверявшего наличие SAP в
инфицированной системе, получила распространение еще в июне: она была
добавлена в базы Dr.Web под именем Trojan.PWS.Ibank.690, текущая же
имеет обозначение Trojan.PWS.Ibank.752. Троянцы Trojan.PWS.Ibank
обладают весьма широким набором вредоносных функций, среди которых можно
отметить следующие:
- похищение и передача злоумышленникам вводимых пользователем паролей;
- воспрепятствование доступу к сайтам антивирусных компаний;
- выполнение команд, поступающих от удаленного командного сервера;
- организация на инфицированном компьютере прокси-сервера и VNC-сервера;
- уничтожение по команде операционной системы и загрузочных областей диска.
Возросший
интерес вирусописателей к программным комплексам SAP и ERP-системам не
может не беспокоить специалистов по информационной безопасности: с
использованием подобных технологий злоумышленники могут попытаться
похитить критическую для коммерческих предприятий информацию, обработка
которой осуществляется с применением данных систем. Однако эксперты
отмечают, что на сегодняшний день троянцы семейства Trojan.PWS.Ibank не
предпринимают никаких деструктивных действий в отношении программного
комплекса SAP, но проверяют факт его наличия в инфицированной системе и
пытаются встроиться в соответствующий процесс, если он запущен в
Windows. Вполне возможно, что таким образом вирусописатели создают для
себя некий «задел на будущее».
|
|
Категория: Компьютерная безопасность |
Просмотров: 422 |
Добавил: Zidar
| Рейтинг: 0.0/0 |
Добавлять комментарии могут только зарегистрированные пользователи. [ Регистрация | Вход ] | |
Главная 
