Журнал ИКС

Разделы сайта

• Новости
• Блоги
• Аналитика
• Новости компаний
• В СНГ и в мире
• Анонсы

Календарь

		Апрель 2024
Пн	Вт	Ср	Чт	Пт	Сб	Вс
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30

Ближайшие события

Trojan.PWS.Papras.4 угрожает пользователям Windows

18 февраля 2014

Trojan.PWS.Papras.4 представляет собой приложение, которое можно отнести к категории RAT (Remote Administration Tool, т. е. средство удаленного администрирования). Оно позволяет злоумышленникам получить доступ к инфицированному компьютеру без ведома пользователя.

Значительную часть вредоносных программ, поступающих на анализ в вирусную лабораторию компании «Доктор Веб», составляют достаточно примитивные по своим функциональным возможностям троянцы. Сложные многокомпонентные угрозы попадаются специалистам гораздо реже — именно к этой категории можно отнести обнаруженного недавно троянца Trojan.PWS.Papras.4, обладающего чрезвычайно обширным вредоносным функционалом. Например, он способен красть пароли от множества популярных прикладных программ, передавать злоумышленникам содержимое заполняемых жертвой форм и открывать им возможность удаленного управления инфицированным компьютером.

Троянец состоит из нескольких компонентов, одним из которых является дроппер, после своего запуска распаковывающий в одну из системных папок другой модуль — инжектор, и в зависимости от привилегий текущей учетной записи пользователя Windows модифицирующий соответствующую ветвь системного реестра для добавления его в автозагрузку.

После успешного запуска инжектор извлекает и распаковывает основные модули троянской программы, а затем встраивает их во все запущенные процессы за исключением нескольких системных. При этом Trojan.PWS.Papras.4 имеет возможность инфицировать как 32–, так и 64-разрядные процессы.

Троянец обеспечивает работу на инфицированном компьютере нескольких функциональных модулей: один из них реализует функции VNC-севера, другой — сервера Socks Proxy. Еще один модуль позволяет встраивать в просматриваемые пользователем веб-страницы постороннее содержимое (веб-инжекты). Дополнительный модуль (Grabber) предназначен для передачи злоумышленникам содержимого заполняемых пользователем форм в браузерах Microsoft Internet Explorer, Mozilla Firefox и Google Chrome, а модуль Stealer — похищать пароли от нескольких десятков популярных приложений, среди которых — почтовые клиенты, FTP-клиенты и ряд других программ. Наконец, модуль backconnect позволяет управлять инфицированной машиной, даже если она скрыта за шлюзом или брандмауэром. Trojan.PWS.Papras.4 «умеет» выполнять следующие команды, получаемые с удаленного сервера:

• загрузить, сохранить, запустить указанное приложение;
• установить обновление вредоносной программы;
• передать на удаленный сервер файлы cookies браузеров Microsoft Internet Explorer, Mozilla Firefox и Google Chrome;
• экспортировать установленные на инфицированном ПК цифровые сертификаты и отправить их на удаленный сервер;
• передать на удаленный сервер список запущенных процессов;
• удалить на инфицированном ПК файлы cookies;
• включить запись в файл журнала;
• включить прокси-сервер;
• включить VNC-сервер;
• установить обновление вредоносной программы с цифровой подписью;
• запускать программы;
• записать значение в реестр или получить значение из реестра;
• выполнить поиск файлов на инфицированном компьютере.

Данная вредоносная программа представляет серьезную опасность в силу наличия обширного функционала для хищения конфиденциальной информации, которая может быть использована злоумышленниками, в частности, для несанкционированного доступа на зараженный компьютер, взлома интернет-ресурсов и учетных записей жертвы на различных сайтах. Вместе с тем Trojan.PWS.Papras.4 успешно детектируется и удаляется продуктами Dr.Web, поэтому их пользователи защищены от данной угрозы.

Оставить свой комментарий:

Комментарии по материалу

Данный материал еще не комментировался.

Заметили ошибку в тексте? Выделите её мышью и нажмите Ctrl+Enter. Спасибо!