Вірусні аналітики компанії "Доктор Веб" досліджували нову версію шкідливої програми, що відноситься до широко відомого сімейства Trojan.Gozi.
Вірусні аналітики компанії «Доктор Веб» дослідили нову версію шкідливої програми, що стосується широко відомого сімейства Trojan.Gozi.
Новий банківський троянець, який отримав назву Trojan.Gozi.64, ґрунтується на вихідному коді попередніх версій Trojan.Gozi, який вже довгий час перебуває у вільному доступі. Як і інші представники цього сімейства, Trojan.Gozi.64 може заражати комп'ютери під керуванням 32- та 64-розрядних версій Windows. Троянець має модульну архітектуру, але, на відміну від попередніх модифікацій, він повністю складається з окремих плагінів, що завантажуються. Також Trojan.Gozi.64 не має алгоритмів для генерації імен керуючих серверів - їх адреси "зашиті" в його конфігурації, тоді як одна з перших версій Gozi використовувала як словник текстовий файл, що завантажується з сервера NASA.
Творці троянця заклали в нього обмеження, завдяки якому він здатний працювати з операційними системами Microsoft Windows 7 і вище, в попередніх версіях Windows шкідлива програма не запускається. Додаткові модулі завантажуються з сервера, що управляє, спеціальною бібліотекою-лоадером, при цьому протокол обміну даними використовує шифрування.
Лоадер Trojan.Gozi.64 може виконувати на зараженій машині такі шкідливі функції: перевірка оновлень троянця; завантаження з віддаленого сервера плагінів для браузерів, за допомогою яких виконуються веб-інжекти; завантаження з віддаленого сервера конфігурації веб-інжектів; отримання персональних завдань, у тому числі для завантаження додаткових плагінів; дистанційне керування комп'ютером.
Для здійснення веб-інжектів у кожному браузері Trojan.Gozi.64 використовує власний плагін, що настроюється. На даний момент На момент вірусним аналітикам відомі плагіни для Microsoft Internet Explorer, Microsoft Edge, Google Chrome і Mozilla Firefox. Встановивши відповідний модуль, троянець отримує з керуючого сервера ZIP-архів із конфігурацією для виконання веб-інжектів. В результаті Trojan.Gozi.64 може вбудовувати в переглядаються користувачем веб-сторінки довільний вміст - наприклад, підроблені форми авторизації на банківських сайтах і в системах банк-клієнт. Оскільки модифікація веб-сторінок відбувається безпосередньо на зараженому комп'ютері, URL такого сайту в адресному рядку браузера залишається коректним, що може ввести користувача в оману і приспати його пильність. Введені в підроблену форму дані передаються зловмисникам, внаслідок чого обліковий запис жертви троянця може бути скомпрометований.
Окрім цього, на заражений комп'ютер можуть бути завантажено та встановлено додаткові модулі – зокрема, плагін, що фіксує натискання користувачем клавіш (кейлоггер), модуль для віддаленого доступу до інфікованої машини (VNC), компонент SOCKS-proxy-сервера, плагін для розкрадання облікових даних з поштових клієнтів та деякі інші. /p>
Банківський троянець Trojan.Gozi.64 не становить небезпеки для користувачів антивірусних продуктів Dr.Web, оскільки сигнатури шкідливої програми та її модулів додані до вірусних баз.