Главная » 2012 » Июнь » 8 » Троян PWS.Banker.64540 подменяет содержимое сайтов платежных систем
18:30
Троян PWS.Banker.64540 подменяет содержимое сайтов платежных систем
Компания "Доктор Веб" сообщила об обнаружение в Интернет вредоносной программы Trojan.PWS.Banker.64540, которая используется злоумышленниками для организации фишинг-атак на веб-сайты платежных систем Visa, MasterCard, American Express и Discover. Trojan.PWS.Banker.64540 состоит из двух компонентов: исполняемого файла и динамической библиотеки, при этом размер трояна составляет около 80 Кбайт. Эта вредоносная программа использует для своего распространения ресурсы известного ботнета Andromeda.
После запуска на инфицированной системе, Trojan.PWS.Banker.64540 копирует себя в один из каталогов под именем "msvcrt.exe" и добавляет себя в автозапуск. После запуска троян осуществляет поиск данных по определенному шаблону в файлах, хранящихся на всех дисках инфицированного компьютера, кроме диска А.
Обнаруженную информацию троян шифрует и отправляет на один из принадлежащих злоумышленникам серверов, адреса которых хранятся в теле вредоносной программы. Троян проверяет, установлен ли модуль сбора информации в системе. После этого внедряет код самоудаления в процесс "svchost.exe". Информацию о выполненных операциях сохраняется в специально созданном файле журнала "%temp%\log.tmp".
Второй компонент - динамическая библиотека, используется в качестве расширения для веб-браузера Internet Explorer. Вредоносное расширение подменяет содержимое страниц на веб-сайтах популярных платежных систем: "visa.com", "mastercard.com", "americanexpress.com", "discovercard.com".
Результатом проведенной фишинг-атаки может стать компрометация личных данных пользователя, в том числе платежной информации. Антивирусные эксперты советуют внимательней относиться к выбору веб-браузера, посещаемым веб-сайтам и используемым расширениям.
Главная 
