Defend what you create

Other Resources

Zamknij

Library
My library

+ Add to library

Profile

Back to news

Nowa wersja trojana bankowego Gozi potrafi tworzyć botnet P2P

8 kwietnia 2016

Zamiast tworzenia zupełnie nowych trojanów bankowych, agresorzy wolą modyfikować stare wersje popularnych złośliwych programów wymierzonych w finanse swoich ofiar. Z tej to przyczyny analitycy bezpieczeństwa Doctor Web wykryli ostatnio nową modyfikację wirusa Trojan.Gozi, trojana bankowego którego kod źródłowy stał się publicznie dostępny jakiś czas temu.

Ten złośliwy program, działający na 32 i 64-bitowych wersjach Windows, jest zdolny do przeprowadzania szerokiego spektrum złośliwych aktywności. Tym samym, potrafi on wykradać informacje wprowadzane przez użytkownika do formularzy na stronach www, wstrzykiwać obcy kod w strony www i przechwytywać naciśnięcia klawiszy (keylogging). Dodatkowo trojan został zaprojektowany do uzyskiwania zdanego dostępu do maszyny użytkownika z wykorzystaniem mechanizmów Virtual Network Computing (VNC). Co więcej, po otrzymaniu komendy, trojan potrafi uruchomić serwer proxy SOCKS, oraz pobrać i zainstalować różne wtyczki.

screen Trojan.Gozi #drweb

Tak jak wiele innych obecnych złośliwych programów, Trojan.Gozi wykorzystuje algorytm generowania domen (Domain Generation Algorithm - DGA) do określenia adresów swoich serwerów C&C. Pobiera on plik tekstowy z serwera NASA, używa go w charakterze słownika i w osobnej operacji modyfikuje go, biorąc pod uwagę bieżącą datę i na podstawie uzyskanych w ten sposób danych generuje nazwy domenowe swoich serwerów zarządzających. Co każde 15 dni trojan łączy się z nowym serwerem C&C. Wszystkie informacje wysyłane i odbieranie przez malware są szyfrowane.

Jednakże opisywana wersja Trojan.Gozi posiada nową funkcjonalność: potrafi generować botnety P2P, co pozwala trojanowi na przesłanie zaszyfrowanych informacji bezpośrednio do zainfekowanych maszyn.

Wszystkie wyżej wymienione funkcje, szczególnie zdolność trojana do wstrzykiwania kodu w strony www, są używane do wykradania różnych poufnych danych z komputera użytkownika, włączając parametry logowania do systemów bankowości online. Antywirusy Dr.Web z powodzeniem wykrywają i usuwają wirusa Trojan.Gozi i tym samym ten złośliwy program nie stanowi zagrożenia dla naszych użytkowników.

Więcej na temat tego trojana

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

The Russian developer of Dr.Web anti-viruses

Doctor Web has been developing anti-virus software since 1992

Dr.Web is trusted by users around the world in 200+ countries

The company has delivered an anti-virus as a service since 2007

24/7 tech support

© Doctor Web
2003 — 2019

Doctor Web to rosyjski producent oprogramowania antywirusowego Dr.Web. Rozwijamy nasze produkty od 1992 roku.

125040, Rosja, Moskwa, 3. ulica Jamskiego Pola 2-12A