Doctor Web przebadał nowe spyware wymierzone w programy księgowe

27 czerwca 2016

Niektóre nowoczesne trojany są złożonymi, wielokomponentowymi złośliwymi programami potrafiącymi wykonywać szerokie spektrum funkcji. W tej informacji zamierzamy skupić się na trojanie typu dropper nazwanym Trojan.MulDrop6.44482, którego próbki zostały do nas dostarczone przez Yandex. To malware zostało przeznaczone do rozpowszechniania innych złośliwych programów, włączając niebezpieczne spyware zaprojektowane do atakowania działów księgowości w rosyjskich firmach.

Trojan.MulDrop6.44482 jest dystrybuowany jako instalator który sprawdza system pod kątem obecności takich antywirusów jak Dr.Web, Avast, ESET lub Kaspersky. Jeśli wykryje jednego z nich, lub jeśli komputer nie wykorzystuje w systemie Windows rosyjskich ustawień językowych, to dropper sam zakończy swoją pracę. W każdym innym przypadku zapisuje na dysku program pakujący 7z i archiwum chronione hasłem. Następnie pozyskuje z archiwum plik za plikiem. Pośród nich znajduje się kilka programów i bibliotek dynamicznych obsługujących różne cele. Jednym z wypakowanych programów, wykrywanym przez Dr.Web jako Trojan.Inject2.24412, jest trojan wbudowany w procesy złośliwej biblioteki uruchamianej na zainfekowanym komputerze. Drugi program rozpakowany przez droppera to Trojan.PWS.Spy.19338 — program szpiegujący (trojan typu spyware) wysyłający teksty wprowadzane w oknach różnych programów, włączając w to programy księgowe.

Trojan.PWS.Spy.19338 jest uruchamiany bezpośrednio w pamięci komputera bez zapisywania go na dysku w formie odszyfrowanej. Tym samym dysk zawiera tylko jego zaszyfrowaną kopię. Głównym celem tego trojana jest logowanie naciśnięć klawiszy i zbieranie informacji o systemie. Oprócz tego moduł keyloggera wysyła do twórców wirusa dane z historii schowka. Trojan.PWS.Spy.19338 potrafi uruchamiać programy z lub bez ich pośredniego zapisywania na dysku. Każdy moduł tego trojana realizuje swoje własne funkcje.

Wszystkie informacje wysyłane na serwer przez Trojan.PWS.Spy.19338 są najpierw szyfrowane z użyciem algorytmu RC4, a następnie poddawane operacji XOR. Trojan zapisuje przechwycone naciśnięcia klawiszy na dysku w specjalnym pliku i w minutowych odstępach przesyła jego zawartość na serwer. Trojan wysyła również nazwę okna w którym zarejestrowano wysyłane naciśnięcia klawiszy. Złośliwy program monitoruje aktywność użytkownika w następujących aplikacjach:

• 1C w wersji 8
• 1C w wersji 7 i 7.7
• SBIS++
• Skype
• Microsoft Word
• Microsoft Excel
• Microsoft Outlook
• Microsoft Outlook Express i Windows Mail
• Mozilla Thunderbird

Dodatkowo trojan zbiera informacje o podłączonych urządzeniach obsługujących karty Smart Card. Odrębne komponenty wirusa Trojan.PWS.Spy.19338 pozwalają na wysyłanie na serwer C&C informacji o systemie komputera.

Antywirusy Dr.Web wykrywają i usuwają wszystkie wymienione powyżej złośliwe programy, tym samym nie stanowią one żadnego zagrożenia dla naszych użytkowników. Specjaliści Doctor Web dziękują firmie Yandex za udostępnienie do badań próbek trojana.

Więcej na temat Trojan.MulDrop6.44482

Więcej na temat Trojan.PWS.Spy.19338