Компания «Доктор Веб» сообщает об обнаружении троянца Trojan.PWS.Papras.4,
обладающего чрезвычайно обширным вредоносным функционалом. Например, он
способен красть пароли от множества популярных прикладных программ,
передавать злоумышленникам содержимое заполняемых жертвой форм и
открывать им возможность удаленного управления инфицированным
компьютером.
Trojan.PWS.Papras.4 представляет собой приложение,
которое можно отнести к категории RAT (Remote Administration Tool, т. е.
средство удаленного администрирования). Оно позволяет злоумышленникам
получить доступ к инфицированному компьютеру без ведома пользователя.
Троянец состоит из нескольких компонентов, одним из которых является
дроппер, после своего запуска распаковывающий в одну из системных папок
другой модуль — инжектор, и в зависимости от привилегий текущей учетной
записи пользователя Windows модифицирующий соответствующую ветвь
системного реестра для добавления его в автозагрузку.
После
успешного запуска инжектор извлекает и распаковывает основные модули
троянской программы, а затем встраивает их во все запущенные процессы за
исключением нескольких системных. При этом Trojan.PWS.Papras.4 имеет
возможность инфицировать как 32–, так и 64-разрядные процессы.
Троянец
обеспечивает работу на инфицированном компьютере нескольких
функциональных модулей: один из них реализует функции VNC-севера, другой
— сервера Socks Proxy. Еще один модуль позволяет встраивать в
просматриваемые пользователем веб-страницы постороннее содержимое
(веб-инжекты). Дополнительный модуль (Grabber) предназначен для передачи
злоумышленникам содержимого заполняемых пользователем форм в браузерах
Microsoft Internet Explorer, Mozilla Firefox и Google Chrome, а модуль
Stealer — похищать пароли от нескольких десятков популярных приложений,
среди которых — почтовые клиенты, FTP-клиенты и ряд других программ.
Наконец, модуль backconnect позволяет управлять инфицированной машиной,
даже если она скрыта за шлюзом или брандмауэром. Trojan.PWS.Papras.4
«умеет» выполнять следующие команды, получаемые с удаленного сервера:
- загрузить, сохранить, запустить указанное приложение;
- установить обновление вредоносной программы;
- передать на удаленный сервер файлы cookies браузеров Microsoft Internet Explorer, Mozilla Firefox и Google Chrome;
- экспортировать установленные на инфицированном ПК цифровые сертификаты и отправить их на удаленный сервер;
- передать на удаленный сервер список запущенных процессов;
- удалить на инфицированном ПК файлы cookies;
- включить запись в файл журнала;
- включить прокси-сервер;
- включить VNC-сервер;
- установить обновление вредоносной программы с цифровой подписью;
- запускать программы;
- записать значение в реестр или получить значение из реестра;
- выполнить поиск файлов на инфицированном компьютере.
Как
отмечают эксперты компании «Доктор Веб», данная вредоносная программа
представляет серьезную опасность в силу наличия обширного функционала
для хищения конфиденциальной информации, которая может быть использована
злоумышленниками, в частности, для несанкционированного доступа на
зараженный компьютер, взлома интернет-ресурсов и учетных записей жертвы
на различных сайтах.
|
Главная 
