«Доктор Веб»: Новый троян подменяет содержимое web-страниц

image

Теги: Доктор Веб, троян, фишинг, браузер, данные

Вредоносная программа способна внедрять в Интернет-браузер собственный контент, позволяя хакерам осуществлять фишинговые атаки.

Компания «Доктор Веб» обнаружила новый троян, способный подменять содержимое web-страниц. Вредоносная программа, которую назвали Trojan.PWS.Banker.64540, используется злоумышленниками для проведения фишинговых атак.

По данным экспертов компании, троян состоит из двух частей – исполняемого файла и динамической библиотеки. Для распространения вредонос использует бот-сеть Andromeda.

«Запустившись на инфицированной машине, Trojan.PWS.Banker.64540 копирует себя в одну из папок под именем msvcrt.exe и прописывает ссылку на данный файл в ветвь системного реестра, отвечающую за автоматическую загрузку приложений. Троян проверяет, установлен ли он в системе. После этого вредоносная программа запускает себя на исполнение и внедряет код самоудаления в процесс svchost.exe. Информацию о выполненных операциях эта программа сохраняет в специально созданном файле журнала», - сообщает «Доктор Веб». Далее вредонос сканирует все диски на зараженном компьютере, проводя поиск информации по определенному шаблону. Найденные подходящие данные программа шифрует и отправляет злоумышленникам, адрес ресурса которых прописан в теле самого вируса.

Эксперты отметили, что основное отличие Trojan.PWS.Banker.64540 состоит в том, что программа прописывает в Internet Explorer собственное содержимое. «Вирус содержит веб-инжекты, позволяющие подменять содержимое web-страниц при обращении к ряду сайтов, таких как visa.com, mastercard.com, americanexpress.com, discovercard.com», - говорится в сообщении антивирусной компании.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus