Компания «Доктор Веб» обнаружила новый троян, способный подменять содержимое web-страниц. Вредоносная программа, которую назвали Trojan.PWS.Banker.64540, используется злоумышленниками для проведения фишинговых атак. По данным экспертов компании, троян состоит из двух частей - исполняемого файла динамической библиотеки. Для распространения вирус использует бот-сеть Andromeda. «Запустив на инфицированной машине, Trojan.PWS.Banker.64540 копирует себя в одну из папок под именем msvcrt.exe и прописывает ссылку на этот файл в ветку реестра, отвечающий за автоматическую загрузку приложений. Троян проверяет, установлен ли он в системе. После этого вредоносная программа запускает себя на выполнение и внедряет код самовидалення в процесс svchost.exe. Информацию о выполненных операциях эта программа хранит в специально созданном файле журнала », - сообщает« Доктор Веб ». Далее он сканирует все диски на зараженном компьютере, проводя поиск информации по определенному шаблону. Найденные соответствующие данные программа шифрует и отправляет злоумышленникам, адрес ресурса которых прописана в теле самого вируса. Эксперты отметили, что основное отличие Trojan.PWS.Banker.64540 заключается в том, что программа прописывает в Internet Explorer собственно содержание. «Вирус содержит веб-инжекты, позволяющих подменять содержимое web-страниц при обращении к ряду сайтов, таких как visa.com, mastercard.com, americanexpress.com, discovercard. com», - говорится в сообщении антивирусной компании.
Комментариев нет:
Отправить комментарий