Файловый вирус трансформировался в похитителя информации

30.08.2011

Вернуться к списку новостей Компания Trusteer - поставщик услуг по информационной безопасности - предупреждает о файловом вирусе, который за последние несколько недель начал переходить к похищению финансовой информации.

Вирус, названный Ramnit, впервые был обнаружен в 2010 году. Для своего распространения этот вирус поражает исполняемые файлы и файлы HTML. Вирус также копирует себя на съёмные устройства и открывает бэкдор на заражённом компьютере. Для загрузки обновлённых инструкций вредоносная программа связывается с командным сервером через протокол HTTPS.

"Несмотря на то, что Ramnit в рамках своей деятельности задействует устаревшие техники, мы вели за ним наблюдение, и несколько недель назад мы обнаружили нечто интересное. По-видимому, Ramnit трансформировался в финансовое вредоносное ПО, или, по крайней мере, он был использован в качестве платформы для совершения финансового мошенничества", - предупреждают исследователи из Trusteer.

Так же, как и многие банковские трояны, Ramnit обладает компонентом, встраивающим себя в браузер. Это позволяет вирусу в реальном времени контролировать содержимое страниц, отображаемых браузером пользователю. Указанный компонент может модифицировать содержимое страниц или добавлять новые поля в различные формы для того, чтобы склонить пользователя к раскрытию более детальной информации, которую банки обычно не запрашивают. Этот отдельный компонент обозначен как Zeus, что наводит исследователей на мысль о том, что он был позаимствован из криминального инструментария с тем же именем.

"Так как исходный код Zeus доступен бесплатно, и принимая во внимание схожий формат настроек Zeus и Ramnit и их ориентацию на похищение финансовой информации, мы подозреваем, что создатели Ramnit встроили в него некоторые части кода вируса Zeus", - пишут исследователи.

В дополнение к компоненту Zeus Ramnit также обладает возможностью похищать сессионные куки и пароли от FTP, завершать работу антивирусов и открывать FTP-сервер на заражённом компьютере.

Это не первый случай переориентации вредоносного кода для совершения финансовых махинаций. В мае компания Trusteer предупреждала о довольно малоизвестном трояне Sunspot, который также был переориентирован для похищения финансовой информации.

Источник