Бэкдор для слежки за пользователями Windows и мобильные банковские троянцы

Троянцы-шпионы представляют особую опасность, поскольку способны похищать конфиденциальную информацию, представляющую высокую ценность для пользователей. Одной из таких вредоносных программ является троянец BackDoor.Apper.1, исследованный специалистами «Доктор Веб» в начале мая.

Этот бэкдор распространяется с помощью дроппера, представленного в виде документа Microsoft Excel, в который встроен специальный макрос. Макрос собирает по байтам и запускает самораспаковывающийся архив. В архиве, в свою очередь, содержится исполняемый файл, позаимствованный злоумышленниками из комплекта поставки популярного продукта корпорации Symantec. Этот файл имеет действительную цифровую подпись Symantec и в момент своего запуска загружает в память компьютера динамическую библиотеку, где и реализованы основные вредоносные функции троянца.

Trojan.Zadved

Надстройки, предназначенные для подмены в окне браузера результатов выдачи поисковых систем, а также демонстрации поддельных всплывающих сообщений социальных сетей. Кроме того, в их троянский функционал входит замена рекламных сообщений, демонстрируемых на различных сайтах.

Trojan.InstallCore.1903

Представитель семейства установщиков нежелательных и вредоносных приложений.

Trojan.MulDrop

Представитель семейства троянцев, предназначенных для установки на инфицированный компьютер других вредоносных программ.

Trojan.StartPage

Семейство вредоносных программ, способных подменять стартовую страницу в настройках браузера.

Trojan.Zadved

Надстройки, предназначенные для подмены в окне браузера результатов выдачи поисковых систем, а также демонстрации поддельных всплывающих сообщений социальных сетей. Кроме того, в их троянский функционал входит замена рекламных сообщений, демонстрируемых на различных сайтах.

Trojan.InstallCore.1903

Представитель семейства установщиков нежелательных и вредоносных приложений.

BackDoor.IRC.NgrBot.42

Довольно распространенный троянец, известный специалистам по информационной безопасности еще с 2011 года. Вредоносные программы этого семейства способны выполнять на инфицированном компьютере поступающие от злоумышленников команды, а управление ими киберпреступники осуществляют с использованием протокола обмена текстовыми сообщениями IRC (Internet Relay Chat).

Trojan.BPlug

Это надстройки (плагины) для популярных браузеров, демонстрирующие назойливую рекламу при просмотре веб-страниц.

Trojan.KillProc.41114

Представитель семейства вредоносных программ, способных останавливать запущенные процессы других приложений, а также выполнять на инфицированном компьютере иные действия.

TeamViewer является популярной программой для удаленного администрирования — с ее помощью специалисты по компьютерным технологиям и системные администраторы могут получить доступ к операционной системе по сети и выполнить в ней какие-либо действия – например, изменить настройки или передать нужные файлы. Однако этой утилитой иногда пользуются и злоумышленники — они модифицируют TeamViewer таким образом, чтобы его значок не демонстрировался в панели задач Windows, а затем соединяются с атакуемой машиной без ведома пользователя.

Троянец BackDoor.TeamViewer.49 также использует в своих целях TeamViewer, но по другой причине: с его помощью он загружает в память компьютера библиотеку, в которой реализованы основные вредоносные функции троянца. Этот бэкдор превращает зараженный ПК в прокси-сервер, который перенаправляет трафик от управляющего сервера на заданный удаленный узел. Это позволяет злоумышленникам обеспечить собственную анонимность в Интернете, соединяясь с удаленными компьютерами через зараженную машину как через обычный прокси-сервер. Более подробную информацию о способе распространения BackDoor.TeamViewer.49 и его возможностях можно получить, ознакомившись с опубликованной на сайте «Доктор Веб» информационной статьей.