Обнаружен троянец, угрожающий пользователям SAP

Фото Евгения Смирнова, ИА «Клерк.Ру»

Компания «Доктор Веб» предупреждает о распространении вредоносной программы, угрожающей пользователям SAP — комплекса программных решений для бизнеса.

Приложение является представителем семейства банковских троянцев Trojan.PWS.Ibank, способных похищать пароли и другую конфиденциальную информацию. По сравнению с другими вредоносными программами семейства Trojan.PWS.Ibank, данный образец отличается видоизмененной архитектурой бота, также были внесены изменения в механизмы межпроцессорного взаимодействия (IPC), упразднена подсистема SOCKS5.

Вместе с тем, практически неизменным остался используемый троянцем внутренний алгоритм шифрования, реализация полезной нагрузки в виде отдельной динамической библиотеки, а также протокол общения с командным центром злоумышленников.

Модуль установки троянца обладает функционалом, позволяющим определить попытку запуска вредоносной программы в отладочной среде или виртуальной машине, чтобы затруднить её исследование специалистами. Также выполняется проверка на выполнение в изолированной среде «песочницы» Sandboxie — утилиты для контроля за работой различных программ.

При этом троянец способен действовать как в 32-битных, так и в 64-битных версиях Microsoft Windows, используя различные способы внедрения в операционную систему. Основной модуль троянца способен выполнять две новые команды (по сравнению с предыдущими версиями Trojan.PWS.Ibank) — одна из них активирует/дезактивирует блокировку банковских клиентов, другая — позволяет получить от управляющего сервера конфигурационный файл.

Обучающий курс от команды «Клерка»
«Налоговые проверки. Тактика защиты»
Способы защиты, проверенные на практике, от Ивана Кузнецова, налогового эксперта, работавшего в ОБЭП.
  • Первое видео — бесплатно.
  • Даем сертификат в конце обучения.
  • Дистанционное обучение.
Записаться на курс за 5 500 руб.