FOR USERS

Library
My library

+ Add to library

Profile

Back to news

Doctor Web przebadał trojana wykradającego hasła

20 kwietnia 2017

Specjaliści Doctor Web przebadali wirusa Trojan.DownLoader23.60762 wykradającego loginy i hasła z popularnych przeglądarek i pobierającego niebezpieczne pliki.

Większość najnowocześniejszych trojanów realizuje tylko jedną funkcję, lub też kilka równoległych z jedną funkcją dominującą. Wielofunkcyjne złośliwe programy są dość rzadkie. Trojan.DownLoader23.60762 jest jednym z nich i stanowi zagrożenie dla urządzeń z systemem Windows. To malware pobiera inne aplikacje na zainfekowane przez nie maszyny, wykrada loginy i hasła z przeglądarek, oraz przechwytuje dane wprowadzane na stronach różnych serwisów www.

Uruchomiony na zaatakowanym komputerze Trojan.DownLoader23.60762 wypakowuje swój własny plik i wyszukuje fragmenty złośliwego kodu w pamięci swojego procesu w celu późniejszego ich wykonania. Trojan.DownLoader23.60762 zapisuje kopię wykonywanego pliku w folderze tymczasowym na dysku zainfekowanego urządzenia. Następnie zapisuje ścieżkę do tego pliku w kluczu rejestru systemowego odpowiedzialnym za automatyczne uruchamianie aplikacji. W rezultacie trojan uruchamia się razem z systemem operacyjnym.

W celu dokonania kradzieży poufnych danych Trojan.DownLoader23.60762 wstrzykuje się w proces Eksploratora Windows, a także w procesy przeglądarek Microsoft Internet Explorer, Mozilla Firefox i Google Chrome. W przeglądarkach przechwytuje on funkcje odpowiedzialne za pracę z siecią. Pozwala to złośliwemu programowi na pozyskiwanie z przeglądarek zapisanych w nich loginów i haseł i na wysyłanie ich do cyberprzestępców, oraz na przechwytywanie danych prowadzanych przez użytkowników na stronach serwisów www.

Trojan łączy się z serwerem kontrolno-zarządzającym w celu otrzymywania takich poleceń jak:

  • Uruchomienie pliku z folderu tymczasowego na dysku zainfekowanego komputera;
  • Samowstrzyknięcie się w działający proces;
  • Usunięcie określonego pliku;
  • Uruchomienie określonego pliku wykonywalnego;
  • Zapisanie bazy danych SQLite używanej przez Google Chrome i wysłanie jej do cyberprzestępców;
  • Zmiana serwera kontrolno-zarządzającego na inny, określony w komendzie;
  • Usunięcie ciasteczek (cookies);
  • Ponowne uruchomienie systemu operacyjnego;
  • Wyłączenie komputera.

Sygnatura wirusa Trojan.DownLoader23.60762 znajduje się już w bazie Dr.Web; tym samym ten złośliwy program nie stanowi zagrożenia dla naszych użytkowników.

Więcej na temat tego trojana

Tell us what you think

To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

The Russian developer of Dr.Web anti-viruses
Doctor Web has been developing anti-virus software since 1992
Dr.Web is trusted by users around the world in 200+ countries
The company has delivered an anti-virus as a service since 2007
24/7 tech support

Dr.Web © Doctor Web
2003 — 2021

Doctor Web to rosyjski producent oprogramowania antywirusowego Dr.Web. Rozwijamy nasze produkty od 1992 roku.

125124, Rosja, Moskwa, 3. ulica Jamskiego Pola 2-12A