20 kwietnia 2017
Większość najnowocześniejszych trojanów realizuje tylko jedną funkcję, lub też kilka równoległych z jedną funkcją dominującą. Wielofunkcyjne złośliwe programy są dość rzadkie. Trojan.DownLoader23.60762 jest jednym z nich i stanowi zagrożenie dla urządzeń z systemem Windows. To malware pobiera inne aplikacje na zainfekowane przez nie maszyny, wykrada loginy i hasła z przeglądarek, oraz przechwytuje dane wprowadzane na stronach różnych serwisów www.
Uruchomiony na zaatakowanym komputerze Trojan.DownLoader23.60762 wypakowuje swój własny plik i wyszukuje fragmenty złośliwego kodu w pamięci swojego procesu w celu późniejszego ich wykonania. Trojan.DownLoader23.60762 zapisuje kopię wykonywanego pliku w folderze tymczasowym na dysku zainfekowanego urządzenia. Następnie zapisuje ścieżkę do tego pliku w kluczu rejestru systemowego odpowiedzialnym za automatyczne uruchamianie aplikacji. W rezultacie trojan uruchamia się razem z systemem operacyjnym.
W celu dokonania kradzieży poufnych danych Trojan.DownLoader23.60762 wstrzykuje się w proces Eksploratora Windows, a także w procesy przeglądarek Microsoft Internet Explorer, Mozilla Firefox i Google Chrome. W przeglądarkach przechwytuje on funkcje odpowiedzialne za pracę z siecią. Pozwala to złośliwemu programowi na pozyskiwanie z przeglądarek zapisanych w nich loginów i haseł i na wysyłanie ich do cyberprzestępców, oraz na przechwytywanie danych prowadzanych przez użytkowników na stronach serwisów www.
Trojan łączy się z serwerem kontrolno-zarządzającym w celu otrzymywania takich poleceń jak:
- Uruchomienie pliku z folderu tymczasowego na dysku zainfekowanego komputera;
- Samowstrzyknięcie się w działający proces;
- Usunięcie określonego pliku;
- Uruchomienie określonego pliku wykonywalnego;
- Zapisanie bazy danych SQLite używanej przez Google Chrome i wysłanie jej do cyberprzestępców;
- Zmiana serwera kontrolno-zarządzającego na inny, określony w komendzie;
- Usunięcie ciasteczek (cookies);
- Ponowne uruchomienie systemu operacyjnego;
- Wyłączenie komputera.
Sygnatura wirusa Trojan.DownLoader23.60762 znajduje się już w bazie Dr.Web; tym samym ten złośliwy program nie stanowi zagrożenia dla naszych użytkowników.
Tell us what you think
You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.
Other comments