В «Доктор Веб» обнаружили новый вирус семейства PWS.Panda

Согласно сообщению исследователей из компании «Доктор Веб», им удалось обнаружить троянское приложение, использующее редкий метод распространения – через пиринговые сети.

Заражение компьютера происходит при помощи широко распространенного трояна Trojan.PWS.Panda.2395. На первом этапе из пиринговой сети трояна на систему скачивается исполняемый файл с вредоносным модулем, который, в свою очередь, запускает еще один модуль, запускающий образ другого вредоносного приложения из семейства Trojan.DownLoader.

Троян сохраняет себя в папке учетной записи пользователя в виде исполняемого файла со случайным именем. Кроме того, вирус модифицирует реестр Windows, что позволяет ему загружаться вместе с операционной системой.

«В теле данной модификации Trojan.DownLoader имеется зашифрованный список доменных имен, к которым загрузчик обращается с запросом по протоколу HTTPS. В ответ троянец получает главную веб-страницу располагающегося по данному адресу сайта и разбирает ее HTML-структуру в поисках тега вставки изображения <img src="data:image/jpeg;base64 … >. В качестве аргумента этого тега такие веб-страницы содержат зашифрованный вредоносный файл, который извлекается из html-документа, расшифровывается и в зависимости от полученной команды либо пытается встроиться в предварительно запущенный троянцем процесс svchost.exe, либо сохраняется во временную папку. Помимо этого, непосредственно из тела загрузчика расшифровываются DDoS-модуль и список адресов для последующей атаки, затем образ данной вредоносной программы настраивается непосредственно в его процессе», - поясняют исследователи.

После проведения всех манипуляций DDoS-модуль отправляет на определенный домен HTTP-запрос и получает в ответ веб-страницу, где хранятся данные, зашифрованные с использованием алгоритма base-64. После расшифровки данные превращаются в файл, маскирующийся под изображение в формате JPEG.

«Этот файл также хранит в себе контейнер, содержимое которого сжато архиватором gzip. Наконец, из архива извлекается вредоносная программа BackDoor.Bulknet.739, представляющая собой троянец-бэкдор, который обладает функционалом для массовой рассылки спама», - заключили эксперты.

Ознакомиться с отчетом «Доктор Веб» можно здесь .