Обнаружен новый опасный банковский троянец

Компания «Доктор Веб» сообщила о распространении вредоносной программы BackDoor.Bebloh.17, относящейся к категории банковских троянцев. Данное приложение представляет угрозу для пользователей систем дистанционного банковского обслуживания (ДБО), поскольку позволяет злоумышленникам красть конфиденциальную информацию путем перехвата заполняемых в браузере форм и встраивания в страницы сайтов некоторых банков.

Троянец распространяется в виде вложения в сообщения массовых почтовых рассылок, отправляемых в том числе якобы от имени компании DHL. Запустившись в операционной системе, BackDoor.Bebloh.17 создает собственную копию в одной из системных папок, после чего удаляет исходный файл. При этом имя создаваемого экземпляра троянца содержит как минимум одно из следующих значений: win, video, def, mem, dns, setup, user, logon, hlp, mixer, pack, mon, srv, exec или play, иногда — сочетание нескольких из них с добавлением случайных символов, например, monnw.exe, deftwin.exe, defpr.exe, winlexec.exe или monkpack.exe. Затем троянец вносит изменения в системный реестр, обеспечивая таким образом автоматический запуск вредоносной программы при старте системы.

Инфицировав компьютер, BackDoor.Bebloh.17 встраивается в процессы winlogon.exe, svchost.exe и explorer.exe, а также, если таковые запущены, пытается встроиться в Windows Messenger (msmsgs.exe), популярные браузеры (iexplore.exe, firefox.exe, myie.exe, avant.exe, mozilla.exe, maxthon.exe, opera.exe, navigator.exe, safari.exe, chrome.exe), почтовые клиенты (thebat.exe, outlook.exe, msimn.exe) и FTP-клиенты (ftpte.exe, coreftp.exe, filezilla.exe, TOTALCMD.EXE, cftp.exe, FTPVoyager.exe, SmartFTP.exe, WinSCP.exe). Троянец регулярно осуществляет проверку своего наличия в зараженной системе и восстанавливает модифицированные им ветви системного реестра в случае их правки или удаления.

Установив соединение с командным центром злоумышленников, BackDoor.Bebloh.17 передает им информацию об инфицированном компьютере, включая версию ОС и наличие установленных обновлений, IP-адрес зараженного компьютера, список всех запущенных процессов и т. д. Троянец также способен выполнять поступающие извне команды, в том числе задачу по обновлению вредоносной программы, а также получать параметры для выполнения веб-инжектов. BackDoor.Bebloh.17 представляет достаточно серьезную угрозу для пользователей, поскольку этот троянец способен похищать данные, вводимые пользователем в веб-формы, подменять содержимое веб-страниц различных систем управления банковскими счетами, а также воровать пароли популярных FTP-клиентов и собирать адреса электронной почты, по всей видимости, для осуществления спам-рассылок.


Сергей и Марина Бондаренко, 3DNews





Интересные новости
Засновник DeepSeek відмовився від приходу інвесторів у капітал компаніїЗасновник DeepSeek відмовився від приходу інвесторів у капітал компанії
Блок рекламы


Похожие новости

Легендарный плеер Winamp готовится к перезапуску — у него появился новый логотип и совсем скоро стартует бета-тестирование
Обнаружено вредоносное ПО для Windows Subsystem for Linux
Microsoft добавила в браузер Edge сверхбезопасный режим Edge Super Duper Secure Mode
Появился опасный вирус MosaicLoader, который охотится на любителей пиратских игр
Microsoft представила Windows 11: новый интерфейс, повышенная производительность, виджеты и многое другое
Google Chrome подключил новый инструмент
В Windows 10 обнаружен баг, из-за которого повредить файловую систему можно всего одной короткой командой
Опасный бэкдор-аккаунт найден в межсетевых экранах и контроллерах точек доступа Zyxel
В текстовом редакторе Microsoft Word появился новый инструмент проверки грамматики
Следующее крупное обновление Windows 10 почти готово к релизу: быстрая установка, переделанный «Пуск» и новый Edge
Последние новости

Подгружаем последние новости