Trojan.PWS.Papras.4 угрожает пользователям Windows

Александр Панасенко 19 Февраля 2014 - 11:23

Домашние пользователи

Windows

Доктор Веб

Вредоносные программы

Трояны

Утечки информации

...

Значительную часть вредоносных программ, поступающих на анализ в вирусную лабораторию компании «Доктор Веб», составляют достаточно примитивные по своим функциональным возможностям троянцы. Сложные многокомпонентные угрозы попадаются специалистам гораздо реже — именно к этой категории можно отнести обнаруженного недавно троянца Trojan.PWS.Papras.4, обладающего чрезвычайно обширным вредоносным функционалом.

Например, он способен красть пароли от множества популярных прикладных программ, передавать злоумышленникам содержимое заполняемых жертвой форм и открывать им возможность удаленного управления инфицированным компьютером.

Trojan.PWS.Papras.4 представляет собой приложение, которое можно отнести к категории RAT (Remote Administration Tool, т. е. средство удаленного администрирования). Оно позволяет злоумышленникам получить доступ к инфицированному компьютеру без ведома пользователя. Троянец состоит из нескольких компонентов, одним из которых является дроппер, после своего запуска распаковывающий в одну из системных папок другой модуль — инжектор, и в зависимости от привилегий текущей учетной записи пользователя Windows модифицирующий соответствующую ветвь системного реестра для добавления его в автозагрузку, сообщает drweb.com.

После успешного запуска инжектор извлекает и распаковывает основные модули троянской программы, а затем встраивает их во все запущенные процессы за исключением нескольких системных. При этомTrojan.PWS.Papras.4 имеет возможность инфицировать как 32–, так и 64-разрядные процессы.

Троянец обеспечивает работу на инфицированном компьютере нескольких функциональных модулей: один из них реализует функции VNC-севера, другой — сервера Socks Proxy. Еще один модуль позволяет встраивать в просматриваемые пользователем веб-страницы постороннее содержимое (веб-инжекты). Дополнительный модуль (Grabber) предназначен для передачи злоумышленникам содержимого заполняемых пользователем форм в браузерах Microsoft Internet Explorer, Mozilla Firefox и Google Chrome, а модуль Stealer — похищать пароли от нескольких десятков популярных приложений, среди которых — почтовые клиенты, FTP-клиенты и ряд других программ. Наконец, модуль backconnect позволяет управлять инфицированной машиной, даже если она скрыта за шлюзом или брандмауэром. Trojan.PWS.Papras.4 «умеет» выполнять следующие команды, получаемые с удаленного сервера:

загрузить, сохранить, запустить указанное приложение;
установить обновление вредоносной программы;
передать на удаленный сервер файлы cookies браузеров Microsoft Internet Explorer, Mozilla Firefox и Google Chrome;
экспортировать установленные на инфицированном ПК цифровые сертификаты и отправить их на удаленный сервер;
передать на удаленный сервер список запущенных процессов;
удалить на инфицированном ПК файлы cookies;
включить запись в файл журнала;
включить прокси-сервер;
включить VNC-сервер;
установить обновление вредоносной программы с цифровой подписью;
запускать программы;
записать значение в реестр или получить значение из реестра;
выполнить поиск файлов на инфицированном компьютере.

Данная вредоносная программа представляет серьезную опасность в силу наличия обширного функционала для хищения конфиденциальной информации, которая может быть использована злоумышленниками, в частности, для несанкционированного доступа на зараженный компьютер, взлома интернет-ресурсов и учетных записей жертвы на различных сайтах.

Следующая главная новость »

Реагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!

Яков Шпунт 27 Апреля 2026 - 12:53

Ошибки конфигурации программ Сбои программ Домашние пользователи

Сайты не открываются: россияне жалуются на сбои из-за Защиты интернета

В России у многих пользователей стали некорректно загружаться веб-сайты. Наиболее вероятная причина — сбои в работе защиты от фишинговых и других потенциально опасных ресурсов, которую некоторые операторы связи включают самостоятельно. Проблемы начинают появляться после активации опции «Защита интернета», причём, по данным СМИ, операторы могут подключать её без явного согласия пользователей.

Как сообщает портал Digital Report, проблемы с доступом к веб-ресурсам наблюдаются в течение последних нескольких недель.

По данным издания, сервис основан на технологии глубокой инспекции пакетов (DPI). Представители операторов объясняют его использование попыткой действовать на опережение: злоумышленники всё чаще обходят базовые антифишинговые механизмы, основанные на сигнатурном подходе.

При этом число атак продолжает расти, как и ущерб от них. Превентивная защита должна снизить риски для пользователей, а вместе с ними — и количество претензий к операторам со стороны абонентов, пострадавших от мошеннических схем.

Однако такая защита может давать ложные срабатывания. Чаще всего проблемы возникают при обращении к облачным сервисам, отдельным корпоративным ресурсам и онлайн-играм.

Чтобы отключить функцию, пользователям приходится обращаться в техническую поддержку оператора, которая часто перегружена, либо самостоятельно искать нужную настройку. При этом, по словам абонентов, она может быть спрятана довольно глубоко.

Опрошенные изданием юристы отмечают, что действия операторов могут быть не вполне законными. Подключение услуг, даже бесплатных, требует явного согласия абонента. В противном случае такие действия можно расценивать как навязывание услуги, что противоречит требованиям законодательства о защите прав потребителей. Кроме того, подобная практика может нарушать принцип сетевой нейтральности.