В своем отчете о вирусной активности прошлой недели компания Panda Software уделила внимание трем троянцам, предоставляющим удаленный доступ к компьютеру - Webber.S, Webber.P и Agent.E, двум троянцам - Bankhook.A и Scob.A, а также трем новым версиям Korgo.
Webber.S и Webber.P являются троянцами, предоставляющими удаленный доступ к компьютеру, позволяя злоумышленникам похищать конфиденциальную информацию. Эти две версии различаются лишь средствами распространения.
Webber.P распространяется путем изменения настроек веб серверов, использующих IIS 5.0 (Internet Information Services). Webber.S также распространяется при посещении пользователями определенных веб страниц, содержащих вредоносный скрипт. Из-за наличия бреши в Internet Explorer данный скрипт способен загружать и запускать Webber.S на компьютере без ведома пользователя. Webber.P открывает два TCP порта, для того чтобы зараженный компьютер работал в качестве прокси сервера.
Agent.E устанавливает сам себя при посещении пользователем определенных веб сайтов. Этот вредоносным код создает динамическую библиотеку на компьютере жертвы, которая контролирует некоторые функции Internet Explorer. Agent.E позволяет выполнять следующие действия: получать информацию из системы, доступ к файлам, принадлежащим определенным приложениям, использовать объекты коммуникаций и т.д.
Троянец Bankhook.A устанавливает себя на компьютеры пользователей, используя брешь MhtRedir, обнаруженную в Internet Explorer. Bankhook.A изменяет Реестр Windows на поражаемом компьютере для обеспечения своего запуска при каждой загрузке Internet Explorer. Bankhook.A просматривает HTTPS трафик, генерируемый на зараженном компьютере, в поисках данных, связанных с различными онлайновыми банками. В случае успеха Bankhook.A перехватывает конфиденциальную информацию (имя пользователя, пароли, номера счетов, номера кредитных карт и т.д.) и отправляет ее на удаленный компьютер при помощи скрипта.
Korgo.U, Korgo.V и Korgo.W остаются резидентными в памяти компьютера. В отличие от других вредоносных кодов, использующих брешь LSASS, они не выводят на экран сообщения об ошибке или таймера обратного отсчета, а также не перезагружают компьютер.
