Вірусні аналітики компанії «Доктор Веб» дослідили нову версію шкідливої ​​програми, що стосується широко відомого сімейства Trojan.Gozi.

Новий банківський троянець, який отримав назву Trojan.Gozi.64, ґрунтується на вихідному коді попередніх версій Trojan.Gozi, який вже довгий час перебуває у вільному доступі. Як і інші представники цього сімейства, Trojan.Gozi.64 може заражати комп'ютери під керуванням 32- та 64-розрядних версій Windows. Троянець має модульну архітектуру, але, на відміну від попередніх модифікацій, він повністю складається з окремих плагінів, що завантажуються. Також Trojan.Gozi.64 не має алгоритмів для генерації імен керуючих серверів - їх адреси "зашиті" в його конфігурації, тоді як одна з перших версій Gozi використовувала як словник текстовий файл, що завантажується з сервера NASA.

Творці троянця заклали в нього обмеження, завдяки якому він здатний працювати з операційними системами Microsoft Windows 7 і вище, в попередніх версіях Windows шкідлива програма не запускається. Додаткові модулі завантажуються з сервера, що управляє, спеціальною бібліотекою-лоадером, при цьому протокол обміну даними використовує шифрування.

Лоадер Trojan.Gozi.64 може виконувати на зараженій машині такі шкідливі функції: перевірка оновлень троянця; завантаження з віддаленого сервера плагінів для браузерів, за допомогою яких виконуються веб-інжекти; завантаження з віддаленого сервера конфігурації веб-інжектів; отримання персональних завдань, у тому числі для завантаження додаткових плагінів; дистанційне керування комп'ютером.

Для здійснення веб-інжектів у кожному браузері Trojan.Gozi.64 використовує власний плагін, що настроюється. На даний момент На момент вірусним аналітикам відомі плагіни для Microsoft Internet Explorer, Microsoft Edge, Google Chrome і Mozilla Firefox. Встановивши відповідний модуль, троянець отримує з керуючого сервера ZIP-архів із конфігурацією для виконання веб-інжектів. В результаті Trojan.Gozi.64 може вбудовувати в переглядаються користувачем веб-сторінки довільний вміст - наприклад, підроблені форми авторизації на банківських сайтах і в системах банк-клієнт. Оскільки модифікація веб-сторінок відбувається безпосередньо на зараженому комп'ютері, URL такого сайту в адресному рядку браузера залишається коректним, що може ввести користувача в оману і приспати його пильність. Введені в підроблену форму дані передаються зловмисникам, внаслідок чого обліковий запис жертви троянця може бути скомпрометований.

Окрім цього, на заражений комп'ютер можуть бути завантажено та встановлено додаткові модулі – зокрема, плагін, що фіксує натискання користувачем клавіш (кейлоггер), модуль для віддаленого доступу до інфікованої машини (VNC), компонент SOCKS-proxy-сервера, плагін для розкрадання облікових даних з поштових клієнтів та деякі інші. /p>

Банківський троянець Trojan.Gozi.64 не становить небезпеки для користувачів антивірусних продуктів Dr.Web, оскільки сигнатури шкідливої ​​програми та її модулів додані до вірусних баз.