Специалисты Яндекса обнаружили новый троян, который поражает компьютеры исключительно российских пользователей
Специалисты безопасного поиска Яндекса обнаружили новый вирус, поражающий только компьютеры россиян. Об этом Searchengines.ru сообщили в пресс-службе компании.
Троянская программа под названием Trojan.MulDrop6.44482 попадает на компьютер в виде установщика, уточняет наличие антивируса и, в случае его отсутствия, проверяет локализацию операционной системы. Вредоносное ПО начинает активную работу по заражению устройства только в том случае, если операционная система принадлежит российскому пользователю, в противном случае троян просто самоуничтожается.
Вредоносное ПО сохраняет себя на диске в виде 7z-архива, защищенного паролем. Постепенно он распаковывается по одному файлу, среди которых представлены и другие трояны. Один из них Trojan.Inject2.24412, который встраивается в запускаемые на зараженном компьютере процессы вредоносных библиотек. Самым опасным трояном среди прочих является кейлоггер Trojan.PWS.Spy.19338, способный перехватывать вводимые с клавиатуры данные в определенных программах и полях.
Информацию об этом вирусе, пока еще неизвестном многим антивирусным базам, специалисты Яндекса отправили в антивирусную лабораторию компании «Доктор Веб», которые исследовали принцип работы трояна и подробно описали в своем отчете.
«В Яндексе на данный момент существуют несколько систем, которые анализируют файлы и различные web-ресурсы и оценивают, насколько они представляют опасность для устройств пользователя или его данных. В результате наши алгоритмы выносят решение об опасности какого-либо сайта или, например, файла. Так, они могут быть опасны (вредить системе пользователя или красть его данные) или нежелательны (показывать навязчивую рекламу или менять настройки). И в том и в другом случае мы предупреждаем наших пользователей в Поиске и в Браузере, а нежелательные сайты понижаются в результатах поиска.
Нередко мы находим и совершенно новые объекты, неизвестные многим антивирусным базам. В таком случае, мы отправляем их образцы в антивирусные лаборатории, чтобы они также обнаруживали данную угрозу и защищали от нее своих пользователей, как, например, это было в данной ситуации. В особых случаях (например, если мы зафиксировали большие эпидемии, новые виды угроз или механизмы работы) мы изучаем вредоносный объект сами и учимся понимать, как лучше с ним бороться», - сообщили в пресс-службе поисковика.
Согласно информации «Доктора Веба», троянец отслеживает активность пользователя в следующих приложениях:
• 1С версии 8;
• 1С версии 7 и 7.7;
• СБиС++;
• Skype;
• Microsoft Word;
• Microsoft Excel;
• Microsoft Outlook;
• Microsoft Outlook Express и Windows Mail;
• Mozilla Thunderbird.
Помимо этого троянец собирает информацию о подключенных к компьютеру устройствах для работы с картами Smart Card. Отдельные модули Trojan.PWS.Spy.19338 позволяют передавать злоумышленникам данные об операционной системе инфицированного компьютера.
По словам аналитика компании «Доктор Веб» Павла Шалина, обычно подобных троянцев пользователи скачивают из интернета сами под видом различных «полезных» программ, например проигрывателя Adobe Flash или чего-то подобного, либо получают в виде вложений в сообщения электронной почты. Это самые распространенные каналы доставки троянцев на компьютеры пользователей.
Трояны действуют сообща, поскольку не являются вирусами и не могут распространяться самостоятельно. Исследованный образец злоумышленники скомпилировали 4 июня 2016 года, однако первый похожий семпл был обнаружен еще в мае 2015-го.