Обнаружен новый вариант банковского трояна Gozi, способный создавать P2P-ботнет

image

Теги: банковский троян, хищение, шпионаж, инфицирование

Gozi способен работать на 32- и 64-разрядных версиях Windows и обладает широким рядом функций.

Исследователи компании «Доктор Веб» обнаружили новую модификацию банковского трояна Gozi, разработанную на основе исходных кодов, некоторое время назад опубликованных в свободном доступе. Ключевой особенностью вредоноса является возможность создания P2P-сети для обмена данными с другими инфицированными компьютерами. Вся информация передается в зашифрованном виде.

Новый вариант Gozi способен работать на 32- и 64-разрядных версиях Windows и обладает широким рядом функций. При помощи трояна кибепреступники могут похищать данные, вводимые пользователями в различные экранные формы, регистрировать нажатия клавиш, внедрять в просматриваемые на инфицированном устройстве web-страницы постороннее содержимое, а также удаленно получать доступ к компьютеру, используя VNC. По команде злоумышленников Gozi может запускать на зараженном компьютере прокси-сервер SOCKS, загружать и устанавливать различные плагины. Программа обладает широким набором шпионских функций, благодаря которым способна похищать различные конфиденциальные данные пользователей, в том числе используемые для работы с системой «клиент-банк».

По аналогии с другим вредоносным ПО троян использует специальный алгоритм генерации доменов (Domain generation algorithm) для определения адресов своих C&C-серверов. Gozi загружает с сервера NASA служащий в качестве словаря текстовый файл, модифицирует его с учетом текущей даты и на основе полученных значений формирует доменные имена. Далее эти имена будут использоваться в качестве адресов C&C-серверов. Троян автоматически меняет сервер каждые 15 дней. Весь трафик между вредоносом и C&C-сервером передается в зашифрованном виде.

 

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.