На этой неделе в отчете PandaLabs рассматриваются трояны Therat.B и Alanchum.UG, backdoor-трояна Redirection.A и червя TellSky.A.
Therat.B – это клавиатурный троян, предназначенный для записи нажатых пользователем клавиш. Он попадает в компьютер вместе с электронной почтой, загрузками и т.д. Он также обладает чрезвычайно опасной функцией, позволяющей ему красть пароли, сохраненные в элементе AutoComplete (Автозаполнение) интернет-браузера пользователя, который обычно используется для автоматической подстановки имени пользователя и пароля в онлайновых формах после ввода одной-двух первых букв.
Цель Therat.B – кража имен пользователей, паролей, веб-адресов и др. Затем собранная информация пересылается создателю трояна по электронной почте.
Therat.B также модифицирует содержимое реестра Windows для того, чтобы иметь возможность запускаться при загрузке компьютера.
“Этот троян представляет собой еще один пример того, как кибер-преступники комбинируют несколько функций в одном вредоносном коде, чтобы иметь возможность использовать каждую из них в полной мере. В данном случае функция клавиатурного шпиона была объединена с кражей информации, сохраненной в определенных областях компьютера. За счет такой комбинации, кибер-преступники могут быть уверены – они получат, по меньшей мере, хоть какие-то конфиденциальные данные в результате каждой из своих успешных атак,” объясняет Луис Корронс, технический директор PandaLabs.
Alanchum.UG пополнил семейство Alanchum, – один из наиболее активных видов вредоносного ПО за последние месяцы. Упомянутый вариант обычно попадает в компьютер с помощью другого вредоносного кода, который помимо Alanchum.UG загружает еще и рекламную программу CWS.
Он изменяет содержимое реестра Windows для того, чтобы запускаться при загрузке компьютера. Alanchum.UG предназначен для рассылки спама. Он ищет все электронные адреса, сохраненные в зараженном компьютере, и затем размещает их на веб-странице.
Для того чтобы скрыть свои процессы, и таким образом затруднить своё обнаружение, троян использует руткитовые технологии.
Далее мы рассмотрим вредоносный код под названием Redirection.A. Как и все backdoor-трояны он открывает на зараженном компьютере «черный ход» (backdoor), а затем подключается к IRC-серверу, вследствие чего компьютер становится доступен для удаленного управления. Данный код может выполнять целый ряд вредоносных действий: сбор информации о зараженной системе (IP, характеристики,…); активация FTP-сервера для загрузки и выполнения на компьютере других вредоносных файлов.
Redirection.A также предназначен для сканирования диапазонов IP в поисках компьютеров с установленной VNC-программой (система числового управления с речевым вводом команд). Эта программа позволяет управлять компьютером удаленно. Если Redirection.A находит компьютер с установленной VNC-программой – он немедленно инсталлируется и в этой системе.
Также данный троян может самостоятельно деинсталлироваться с компьютера, при этом удалив все созданные им записи реестра, что еще более затрудняет его обнаружение.
В завершение сегодняшнего отчета мы рассмотрим червя TellSky.A. Этот вредоносный код копируется на жесткий диск под такими именами, как, например, Girl.exe или Downloader.exe. Он также изменяет содержимое реестра Windows для того, чтобы запускаться при загрузке компьютера.
При первом запуске червь выбрасывает сообщение об ошибке. Цель этого сообщения – отвлечь пользователя, пока TellSky.A занимается выполнением вредоносных действий, среди которых нарушение корректной работы решений безопасности. Затем червь старается подключиться к веб-странице, с которой можно загрузить другие вредоносные файлы.
TellSky.A отключает некоторые системные опции, такие как Запуск в меню Пуск и Свойства папки. Большинство таких модификаций производятся с целью снизить уровень безопасности или заблокировать функции, которые могут помочь в локализации угрозы.
