Your browser is obsolete!

The page may not load correctly.

Defend what you create

Other Resources

Zamknij

Library
My library

+ Add to library

Contact us
24/7 Tech support

Send a message

Call us

+7 (495) 789-45-86

Forum
Profile

Back to news

Doctor Web wykrył nowego trojana bankowego

13 lutego 2017

Trojany bankowe stanowią poważne zagrożenie zarówno dla przedsiębiorstw jak i dla osób fizycznych, gdyż są w stanie wykradać pieniądze bezpośrednio z kont użytkowników w różnych organizacjach finansowych. Specjaliści Doctor Web wykryli nowego trojana zagrażającego użytkownikom systemu Windows.

Ten złośliwy program oparty na kodzie źródłowym innego trojana bankowego — Zeusa (Trojan.PWS.Panda), został nazwany jako Trojan.PWS.Sphinx.2. Jego głównym celem jest dokonywanie wstrzyknięć kodu w strony www. Trojan wstrzykuje samodzielną zawartość we wszystkie strony www przeglądane przez użytkownika — są to na przykład fałszywe formularze do wprowadzania informacji o loginie i haśle, które to dane są następnie przesyłane do cyberprzestępców. Użytkownicy przeważnie nie zauważają zamiany, ponieważ URL zasobu i jego układ wyglądają tak samo, a fałszywy formularz lub tekst jest dodawany do strony już na zainfekowanym komputerze. Te trojany bankowe potrafią atakować klientów wielu organizacji kredytowych, ponieważ uzyskują informacje potrzebne do wstrzyknięć kodu bezpośrednio z serwera kontrolno-zarządzającego (C&C). Jeśli użytkownik loguje się na stronę, której adres został już dodany do konfiguracji trojana, Trojan.PWS.Sphinx.2 wstrzykuje w nią kontent przygotowany przez cyberprzestępców. Poniższy obrazek przedstawia próbkę kodu wstrzykniętego w stronę bankofamerica.com przez wirusa Trojan.PWS.Sphinx.2.

screen Trojan.PWS.Sphinx.2#drweb

Uruchomiony, Trojan.PWS.Sphinx.2 wstrzykuje siebie w działający proces Eksploratora Windows (explorer.exe) i odszyfrowuje kod programu ładującego i zawartość pliku konfiguracyjnego, w którym ukrywa się adres serwera C&C i klucz szyfrujący. Trojan.PWS.Sphinx.2 posiada architekturę modułową: wymaga dodatkowych wtyczek pobieranych z serwera cyberprzestępców. Dwa z tych modułów są zaprojektowane do przeprowadzania wstrzyknięć kodu w strony www w 32- i 64-bitowych wersjach Windows, kolejne dwa służą do uruchamiania serwera VNC używanego przez cyberprzestępców do łączenia się z zainfekowanym komputerem. Dodatkowo Trojan.PWS.Sphinx.2 pobiera i zapisuje na zainfekowanym komputerze zestaw narzędzi do instalowania głównego certyfikatu cyfrowego, który może być użyty przez cyberprzestępców do przeprowadzania ataków MITM (man-in-the-middle). Co więcej, trojan posiada moduł typu grabber przechwytujący dane wprowadzane przez użytkownika do różnych formularzy i wysyłający je do cyberprzestępców.

Warty zauważenia jest unikalny sposób w który trojan automatycznie uruchamia się na zainfekowanej maszynie: Trojan.PWS.Sphinx.2 używa skryptu PHP i interpretera PHP. Skrypt jest wykonywany poprzez skrót umieszczony w folderze Autostartu przez trojana. Wszystkie informacje wymagane do działania trojana są zaszyfrowane i zapisane w Rejestrze systemu Windows. Moduły są zapisane w oddzielnych plikach z losowym rozszerzeniem i również są zaszyfrowane.

Antywirusy Dr.Web z powodzeniem wykrywają i usuwają Trojan.PWS.Sphinx.2, tym samym ten złośliwy program nie stanowi żadnego zagrożenia dla naszych użytkowników

Więcej na temat tego trojana

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

The Russian developer of Dr.Web anti-viruses

Doctor Web has been developing anti-virus software since 1992

Dr.Web is trusted by users around the world in 200+ countries

The company has delivered an anti-virus as a service since 2007

24/7 tech support

© Doctor Web
2003 — 2017

Doctor Web to rosyjski producent oprogramowania antywirusowego Dr.Web. Rozwijamy nasze produkty od 1992 roku.

125040, Rosja, Moskwa, 3. ulica Jamskiego Pola 2-12A