18 февраля 2014, 17:20

Trojan.PWS.Papras.4 угрожает пользователям Windows

Значительную часть вредоносных программ, поступающих на анализ в вирусную лабораторию компании «Доктор Веб», составляют достаточно примитивные по своим функциональным возможностям троянцы.

Сложные многокомпонентные угрозы попадаются специалистам гораздо реже — именно к этой категории можно отнести обнаруженного недавно троянца Trojan.PWS.Papras.4, обладающего чрезвычайно обширным вредоносным функционалом. Например, он способен красть пароли от множества популярных прикладных программ, передавать злоумышленникам содержимое заполняемых жертвой форм и открывать им возможность удаленного управления инфицированным компьютером.

Trojan.PWS.Papras.4 представляет собой приложение, которое можно отнести к категории RAT (Remote Administration Tool, т. е. средство удаленного администрирования). Оно позволяет злоумышленникам получить доступ к инфицированному компьютеру без ведома пользователя. Троянец состоит из нескольких компонентов, одним из которых является дроппер, после своего запуска распаковывающий в одну из системных папок другой модуль — инжектор, и в зависимости от привилегий текущей учетной записи пользователя Windows модифицирующий соответствующую ветвь системного реестра для добавления его в автозагрузку.

После успешного запуска инжектор извлекает и распаковывает основные модули троянской программы, а затем встраивает их во все запущенные процессы за исключением нескольких системных. При этом Trojan.PWS.Papras.4 имеет возможность инфицировать как 32–, так и 64-разрядные процессы.

Троянец обеспечивает работу на инфицированном компьютере нескольких функциональных модулей: один из них реализует функции VNC-севера, другой — сервера Socks Proxy. Еще один модуль позволяет встраивать в просматриваемые пользователем веб-страницы постороннее содержимое (веб-инжекты). Дополнительный модуль (Grabber) предназначен для передачи злоумышленникам содержимого заполняемых пользователем форм в браузерах Microsoft Internet Explorer, Mozilla Firefox и Google Chrome, а модуль Stealer — похищать пароли от нескольких десятков популярных приложений, среди которых — почтовые клиенты, FTP-клиенты и ряд других программ. Наконец, модуль backconnect позволяет управлять инфицированной машиной, даже если она скрыта за шлюзом или брандмауэром. Trojan.PWS.Papras.4 «умеет» выполнять следующие команды, получаемые с удаленного сервера:

загрузить, сохранить, запустить указанное приложение;
установить обновление вредоносной программы;
передать на удаленный сервер файлы cookies браузеров Microsoft Internet Explorer, Mozilla Firefox и Google Chrome;
экспортировать установленные на инфицированном ПК цифровые сертификаты и отправить их на удаленный сервер;
передать на удаленный сервер список запущенных процессов;
удалить на инфицированном ПК файлы cookies;
включить запись в файл журнала;
включить прокси-сервер;
включить VNC-сервер;
установить обновление вредоносной программы с цифровой подписью;
запускать программы;
записать значение в реестр или получить значение из реестра;
выполнить поиск файлов на инфицированном компьютере.
Данная вредоносная программа представляет серьезную опасность в силу наличия обширного функционала для хищения конфиденциальной информации, которая может быть использована злоумышленниками, в частности, для несанкционированного доступа на зараженный компьютер, взлома интернет-ресурсов и учетных записей жертвы на различных сайтах. Вместе с тем Trojan.PWS.Papras.4 успешно детектируется и удаляется продуктами Dr.Web, поэтому их пользователи защищены от данной угрозы.


Оцените новость:
  • 0 оценок