Новый троян Briz.R

PandaLabs сообщает о появлении нового трояна Briz.R. Этот троян позволяет злоумышленнику получить удаленный контроль над зараженным компьютером и перенаправлять пользователей на поддельные веб-страницы, разработанные для кражи конфиденциальных данных.

Истоки нового вируса Briz.R кроются в афере по созданию и продаже персонализированных версий Briz, которая была обнаружена и уничтожена лабораторией PandaLabs несколько месяцев назад. По словам Луиса Корронса, директора PandaLabs, "после изучения кода нового трояна, мы почти стопроцентно уверены, что он является работой того же автора, который разработал первого трояна Briz. Похоже, что автор решил напрямую использовать свои детища для получения финансовой прибыли, поскольку бизнес по продаже адаптированных троянов не смог долго функционировать".

Briz.R может проникать на компьютеры любыми путями, включая веб-страницы, скачивания подозрительных программ и т.д. Однако автор не предпринимал усилий по его масштабному распространению, чтобы избежать обнаружения антивирусными компаниями. 

Атака Briz.R начинается с установки файла с именем iexplore.exe, который используется для проверки наличия активного подключения к Интернету. Если подключение найдено, он скачивает другой файл, под названием ieschedule.exe, который сохраняет конфигурационные параметры трояна и номер порта, через который будет отправлена украденная информация. 

Другой скачиваемый компонент – файл ieserver.exe, перенаправляет пользователя на поддельные веб-страницы, разработанные для кражи личных данных, когда пользователь пытается зайти на определенные веб-адреса. Многие из этих страниц принадлежат онлайновым финансовым сервисам. Если пользователь вводит данные на одной из поддельных страниц, троян крадет их и отправляет кибер-преступнику.

Этот веб-сервер также позволяет злоумышленнику получить удаленный контроль над зараженным компьютером. Он делает это, устанавливая созданное на PHP приложение phpRemoteView.

Briz.R также скачивает компонент под названием smss.exe, который изменяет системный hosts-файл. Эти модификации блокируют доступ к большому количеству веб-страниц, относящихся к ИТ-безопасности.

Предупреждающая технология TruPreventTM обнаружила и заблокировала Briz.R, не обладая предварительной информацией о нем, т.е. не полагаясь на установку обновлений. Поэтому компьютеры, на которых установлена эта технология, были защищены с первого появления данной угрозы.

“Наблюдается заметное увеличение количества вредоносных кодов, таких как Briz.R, которые специально разработаны так, чтобы оставаться незамеченными пользователями и антивирусными компаниями, при этом последние неспособны создавать вакцины, т.к. не знают о существовании угрозы. Это проблема, которая должна быть решена с помощью технологических инноваций. Возможностей традиционных антивирусов уже не хватает для борьбы с такими атаками, и они должны дополняться предупреждающими технологиями, способными обнаруживать присутствие вредоносного ПО, не требуя обновлений,” добавляет Корронс.