Обнаружен троянец с функциями антивируса

Обнаружен троянец с функциями антивируса

Специалисты компании «Доктор Веб» завершили исследование сложного многокомпонентного троянцаTrojan.Tofsee, обладающего широким спектром возможностей. Основное назначение этого троянца — рассылка спама, однако среди заложенных в него функций есть весьма необычная: один из модулейTrojan.Tofsee предназначен для удаления на инфицированном компьютере других троянцев и вредоносных программ.

Порой пользователи пренебрегают необходимостью установки на своем компьютере антивирусного программного обеспечения, и в результате многие из них становятся жертвами распространителей вредоносных программ. Можно сказать, что в этом отношении чуть больше других повезло разве что пользователям, компьютеры которых заразились многокомпонентным троянцем Trojan.Tofsee — помимо рассылки спама он умеет «лечить» систему от других угроз, причем справляется с этой задачей на удивление успешно.

Распространяется Trojan.Tofsee несколькими различными способами: с помощью программы Skype, через социальные сети и съемные накопители. В первом случае злоумышленники используют в своих целях классические методы социальной инженерии, а именно, пытаются ввести потенциальную жертву в заблуждение, сообщив ей о том, что в сети якобы опубликованы шокирующие фотографии или видеозаписи с ее участием. Безусловно, такой подход вполне можно назвать «классикой жанра», поскольку он используется распространителями вирусов на протяжении уже многих лет, однако излишне доверчивые люди все равно продолжают попадаться в эту нехитрую западню.

Отвечает за распространение Trojan.Tofsee через социальные сети Twitter, Facebook и «ВКонтакте», а также через программу Skype специальный модуль, который троянец скачивает с сервера злоумышленников. Отправляемые сообщения строятся по шаблону, который передается в конфигурационном файле. Сообщения пользователям социальных сетей отсылаются с учетом используемого ими национального языка. Например, потенциальным жертвам, говорящим на русском языке, рассылаются следующие сообщения (оригинальные орфография и пунктуация сохранены):

Хай. Зацени свои интимные фотки :)
Привет! Офигеть... Неуж-то это ты?!
Привет друг) Попалился ты однако конекретно. Это ж ты?
Офигеть! Это ты? Это конкретное палево ч?
Ты идиот? Зачем таки? фотки выкладывать в сеть??
Спецом выложили эту фотку, где ты выглядишь как шлюха?))
Жесть!! Как можно было так спалиться?!
Твои родители уже видели?
5ли эту твою фото с вечеринки? ггг)
Вот это да! Ты прикалываешься? Такое фото выложить...)

В тексте сообщения приводится ссылка на страницу, где потенциальная жертва якобы может ознакомиться с компрометирующими ее видеозаписями или фотографиями. Однако для просмотра этого контента пользователю предлагается загрузить плагин для браузера, под видом которого и распространяется Trojan.Tofsee.

Для отправки сообщений на сайты Twitter, Facebook и «ВКонтакте» вредоносный модуль использует данные сессии из файлов cookies браузеров Microsoft Internet Explorer, Mozilla Firefox, Opera, Safari, Google Chrome. В программу Skype сообщения отсылаются с помощью нажатия кнопок в окне самого приложения. Модуль также умеет распознавать защиту captcha на сайте социальной сети Facebook — для этого она отправляется на сервер, где распознается, после чего троянец получает текст для ввода в соответствующую экранную форму.

Другой модуль позволяет троянцу распространяться с помощью съемных flash-накопителей. Здесь вирусописатели тоже решили не изобретать велосипед и пошли традиционным путём: модуль сохраняет исполняемый файл Trojan.Tofsee в Корзине, а в корневой папке съемного накопителя создает файл автозапуска autorun.inf. Заражение выполняется по команде с управляющего сервера.

Однако наибольший интерес с точки зрения своего функционального назначения представляет модуль, предназначенный для поиска и удаления на инфицированном компьютере всех обнаруженных троянцев и других вредоносных программ (за исключением, разумеется, самого Trojan.Tofsee). Этот плагин может искать на диске файлы по заданному списку, а также записи в системном реестре Windows, перечислять запущенные процессы и удалять обнаруженные опасные файлы. Таким образом, даже если на компьютере жертвы не установлена антивирусная программа, Trojan.Tofsee «заботится» о его безопасности.

Основное назначение Trojan.Tofsee — это рассылка спама, при этом тексты отправляемых писем формируются с помощью специальных шаблонов, которые троянец скачивает с сервера злоумышленников. Функции для работы с сетью и протоколом SMTP реализованы в основном модуле Trojan.Tofsee. После успешного подключения к управляющему серверу тот отсылает троянцу ключи для расшифровки данных. Затем троянец передает на командный сервер данные о себе и получает от него задание, содержащее команды для последующего выполнения. Любопытно, что для создания отправляемых писем троянец использует собственный скриптовый язык, что само по себе является большой редкостью в мире вредоносного программного обеспечения.

В настоящий момент Trojan.Tofsee может загружать с удаленных серверов 17 подключаемых модулей, реализованных в виде динамических библиотек. Помимо уже описанных выше, другие модули, которые использует в своей работе Trojan.Tofsee, имеют следующее функциональное назначение:

  • модуль для проверки правильности адресов удаленных узлов, передаваемых ему в виде блока конфигурационных данных;
  • плагин для реализации DDoS-атак. Способен реализовывать два вида атак: http flood и syn flood;
  • модуль, представляющий собой зашифрованный Trojan.PWS.Pony.5;
  • модуль для журналирования данных браузера Microsoft Internet Explorer. Извлекает из своего тела и встраивает в процесс браузера библиотеку IEStub.dll, управляется отдельным конфигурационным файлом;
  • модуль для работы с графическими файлами, который загружает изображения в специальные структуры для дальнейшей работы других плагинов;
  • модуль, который извлекает почтовые адреса из Internet Account Manager и PStoreCreateInstance, формирует адрес отправителя в виде %NAMEPC%@mail.ru и пытается отправить сообщения по созданному списку;
  • плагин, загружающий предназначенного для добычи криптовалюты Bitcoin троянца Trojan.BtcMine.148. Он устанавливает Trojan.BtcMine.148 в системе и передает ему необходимые параметры при запуске;
  • модуль, который устанавливает в папку system32\drivers\ вредоносную программу Trojan.Siggen.18257 в виде файла со случайным именем и расширением .sys, после чего запускает его;
  • модуль, реализующий функции http- и socks5-прокси;
  • модуль, предназначенный для формирования и рассылки почтовых сообщений; Использует встроенный скриптовый язык для формирования сообщений и рассылает их по протоколу HTTPS. SSL-шифрование реализовано посредством Microsoft Unified Security Protocol Provider;
  • библиотека для перехвата и анализа трафика на низком уровне, использует для этого специальный драйвер. Ищет в потоке данных информацию, передаваемую по протоколам FTP и SMTP, может подменять адреса и тело сообщений;
  • плагин, обрабатывающий конфигурационные шаблоны и соответствующим образом формирующий их в памяти;
  • модуль, в котором реализован скриптовый язык для создания рассылаемых троянцем писем.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Упавший сайт сети ВинЛаб обвалил акции компании Novabev

Сайт сети алкомаркетов «ВинЛаб», принадлежащей компании Novabev, перестал работать сегодня. Сбой затронул не только онлайн-канал, но и офлайн-магазины сети. Причины технических неполадок официально не раскрываются. На фоне инцидента акции Novabev упали на 5,5%.

«По техническим причинам временно ограничены возможности покупки онлайн и в магазинах. Наша команда прилагает все усилия для оперативного возобновления работы в полном объеме. Сожалеем о доставленных неудобствах, благодарны нашим покупателям за понимание», — говорится в официальном сообщении пресс-службы «ВинЛаб», которое привёл ТАСС.

Как сообщил телеграм-канал «Т-Инвестиции», падение котировок Novabev на 5,5% напрямую связано с проблемами дочерней компании:

«Причиной такой динамики акций стал неработающий сайт дочерней компании группы — алкомаркета «ВинЛаб». На сайте сообщается, что сеть проводит технические работы, и ресурс пока недоступен для оформления заказов. Также на форуме Smart-lab появился пост, в котором говорится о приостановке работы торговых точек по техническим причинам во всех регионах РФ».

При этом финансовые показатели «ВинЛаб» за 2024 год были одними из лучших в отрасли. Выручка компании выросла на 30%, а чистая прибыль увеличилась в 1,5 раза. По темпам роста «ВинЛаб» опережает большинство конкурентов в сегменте алкоретейла.

Напомним, что в июле 2024 года база данных покупателей «ВинЛаб» оказалась в открытом доступе. Компания подтвердила факт попытки взлома своих систем.

Сбой в работе ВинЛаб

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru