12 lutego 2016

Trojany bankowe są uważane za jedne z najniebezpieczniejszych zagrożeń. Nie tylko posiadają złożoną architekturę, ale również są zdolne do realizowania szerokiego spektrum funkcji. Mimo to niektórzy atakujący opracowują nieskomplikowane złośliwe programy, takie jak na przykład Trojan.Proxy2.102, który został przebadany przez specjalistów Doctor Web.

Trojan.Proxy2.102 wykrada pieniądze z kont bankowych ofiar używając następującej metody - uruchomiony instaluje główny certyfikat cyfrowy i zmienia ustawienia połączenia z Internetem definiując serwer proxy należący do twórców wirusa.

Od tej chwili wszystkie żądania skierowane do stron www bankowości online są rozwiązywane z użyciem tego serwera proxy. Jest on również używany do wstrzykiwania samodzielnej zawartości w treść tych witryn gdy tylko użytkownik otworzy je na zainfekowanym komputerze. W ten sposób ofiary są wprowadzane w błąd i przesyłają pieniądze ze swoich kont na konto cyberprzestępców. Trojan.Proxy2.102 potrafi modyfikować zawartość takich stron systemów bankowości online jak online.sberbank.ru, online.vtb24.ru i online.rsb.ru. Początkowa instalacja fałszywego certyfikatu cyfrowego, używanego do podpisywania odpowiednich stron www, pozwala trojanowi na ukrywanie swojej obecności przed użytkownikiem tak długo, jak to tylko możliwe.

Jeśli procedura instalacji powiedzie się, złośliwy program przesyła informację o tym zdarzeniu na serwer. Ponieważ trojan nie rejestruje się w autostarcie, przechodzi w nieskończony tryb uśpienia gdy tylko wykona wszystkie swoje złośliwe funkcje.

Dr.Web z powodzeniem wykrywa i usuwa wirusa Trojan.Proxy2.102 i z tego powodu nie stanowi on zagrożenia dla użytkowników programów Dr.Web.

Więcej na temat tego trojana