Компания «Доктор Веб» обнаружила в сети троян с интересным алгоритмом поведения

Картинка: 

Вредонос Trojan.Spambot стремится похить учетные данные почтовых клиентов и данные автозаполнения форм в web-обозревателях.

Согласно сообщению антивирусной компании «Доктор Веб», ее специалистам удалось обнаружить в сети Интернет троян Trojan.Spambot.11349, выполняющий на зараженной системе нестандартные операции.

Опасность данного вредоносного приложения заключается в том, что он предназначен для похищения учетных данных почтовых клиентов, в том числе Microsoft Outlook и The Bat! Кроме того, троян стремиться передать злоумышленникам с зараженной системы данные автозаполнения форм в web-обозревателях.

«Распространение этой вредоносной программы осуществляется с применением бот-сети весьма известных бэкдоров Backdoor.Andromeda. Троянец Trojan.Spambot.11349 состоит из двух компонентов: написанного на языке Delphi загрузчика и динамической библиотеки, в которой сосредоточена полезная нагрузка», - поясняют исследователи.

Функции приложения-загрузчика - это обход брандмауэра и установка в систему вредоносной библиотеки. Если загрузчик запущен из процесса, имя которого не содержит строку «vcnost.e», троянец уничтожает все процессы, содержащие в имени значение svcnost, сохраняет себя в одну из папок на жестком диске компьютера под именем svcnost.exe и прописывает соответствующую ссылку в ветви реестра, отвечающей за автозагрузку приложений.

Кроме того, троян вносит ряд изменений в системный реестр с целью обхода сетевого экрана Windows, и перезаписывает файл hosts, блокируя пользователю доступ к веб-сайтам производителей антивирусных программ.

«Наконец, загрузчик помещает в оперативную память компьютера содержащую полезную нагрузку динамическую библиотеку и передает ей дальнейшее управление», - утверждают в «Доктор Веб».

securitylab.ru