Троянец-шпион нацелился на бухгалтеров

Александр Панасенко 27 Июня 2016 - 17:58

Общее

Вредоносные программы

Вирусы

Трояны

Шпионские программы

...

Некоторые современные троянцы представляют собой довольно сложные многокомпонентные вредоносные программы, обладающие широким спектром функциональных возможностей. К этой категории можно отнести и исследованного специалистами компании «Доктор Веб» троянца-дроппера Trojan.MulDrop6.44482, образец которого был предоставлен для изучения компанией «Яндекс».

Эта вредоносная программа предназначена для распространения других троянцев, в том числе – опасного шпиона, угрожающего бухгалтериям отечественных компаний.

Trojan.MulDrop6.44482 распространяется в виде приложения-установщика, которое при запуске проверяет наличие на инфицируемом компьютере антивирусов Dr.Web, Avast, ESET или Kaspersky: если таковые обнаруживаются, троянец завершает свою работу. Также он прекращает работу, если локализация Windows отличается от русской. В остальных случаях эта вредоносная программа сохраняет на диск архиватор 7z и защищенный паролем архив, из которого затем извлекает файлы по одному. В этом архиве содержится несколько программ и динамических библиотек, имеющих разное назначение. Одно из приложений, которое распаковывает и запускает Trojan.MulDrop6.44482, детектируется антивирусом Dr.Web под именем Trojan.Inject2.24412. Этот троянец предназначен для встраивания в запускаемые на зараженном компьютере процессы вредоносных библиотек. Другая вредоносная программа из комплекта Trojan.MulDrop6.44482 получила наименование Trojan.PWS.Spy.19338 — это троянец-шпион, способный передавать киберпреступникам набираемый пользователем текст в окнах различных приложений, в том числе бухгалтерских, пишет news.drweb.ru.

Trojan.PWS.Spy.19338 запускается непосредственно в памяти атакуемого компьютера без сохранения на диск в расшифрованном виде, при этом на диске хранится его зашифрованная копия. Основное предназначение этого троянца — логирование нажатий клавиш в окнах ряда приложений и сбор информации об инфицированной системе. Кроме того, фиксирующий нажатия клавиш модуль-кейлоггер может передавать злоумышленникам данные из буфера обмена инфицированного компьютера. Также Trojan.PWS.Spy.19338 может запускать на зараженном ПК получаемые с управляющего сервера программы как с промежуточным сохранением их на диск, так и без него. Троянец состоит из нескольких модулей, каждый из которых выполняет собственный набор функций.

Вся информация, которой Trojan.PWS.Spy.19338 обменивается с управляющим сервером, шифруется в два этапа, сначала с использованием алгоритма RC4, затем — XOR. Записи о нажатиях клавиш троянец сохраняет на диске в специальном файле и с интервалом в минуту передает его содержимое на управляющий сервер. Вместе с кодами самих нажатых клавиш Trojan.PWS.Spy.19338 отсылает злоумышленникам и название окна, в котором произошло нажатие. Троянец отслеживает активность пользователя в следующих приложениях:

1С версии 8;
1С версии 7 и 7.7;
СБиС++;
Skype;
Microsoft Word;
Microsoft Excel;
Microsoft Outlook;
Microsoft Outlook Express и Windows Mail;
Mozilla Thunderbird.

Помимо этого троянец собирает информацию о подключенных к компьютеру устройствах для работы с картами Smart Card. Отдельные модули Trojan.PWS.Spy.19338 позволяют передавать злоумышленникам данные об операционной системе инфицированного компьютера.

Следующая главная новость »

DDoS 2026: атаки меняются — готова ли ваша защита?
Регистрируйтесь на эфир!

Екатерина Быстрова 24 Марта 2026 - 21:22

Домашние пользователи

В Краснодаре ребёнка отказались записывать к врачу без MAX

В Краснодаре местная жительница столкнулась с довольно странной ситуацией: в детской поликлинике ей фактически отказали в обычной записи ребёнка к врачу и заявили, что теперь сделать это можно только через мессенджер MAX. По словам женщины, ещё в феврале она пыталась записать сына к офтальмологу и хирургу через «Госуслуги» в детскую поликлинику № 27 на проспекте Знаменского, 3.

Но через сервис записаться не получилось — свободных талонов не было. Об этой истории 24 марта сообщил телеграм-канал Gmrlive.

Тогда её муж поехал в поликлинику лично, чтобы попробовать взять талон через терминал или оформить запись через регистратуру. Но там, как утверждается, в услуге отказали. Сотрудники медучреждения сослались на некое новое распоряжение, по которому записываться к врачам теперь якобы нужно только через MAX.

Такой ответ семью, мягко говоря, не устроил. Женщина направила обращение в Министерство здравоохранения Краснодарского края и попросила разъяснить, на каком основании ей отказали в записи и что делать пациентам, у которых мессенджер MAX вообще не установлен.

После этого ситуация довольно быстро начала меняться. Сначала из поликлиники ей позвонили и предложили записаться по телефону. Заодно пообещали починить терминал, через который должны выдаваться талоны.

А позже, 16 марта, пришёл и официальный ответ из краевого Минздрава. В письме сообщили, что с медицинским персоналом уже провели рабочее совещание по поводу исполнения их обязанностей. Кроме того, в ответе перечислили доступные способы записи к врачу — и мессенджера MAX среди них не оказалось.

Также женщине направили номер горячей линии и контакты главного врача, чтобы в случае повторения подобных ситуаций можно было обращаться напрямую.

В итоге история получилась довольно показательной. На словах пациентке сначала попытались представить MAX как едва ли не обязательный канал записи к врачу. Но после жалобы быстро выяснилось, что официально такого требования нет, а записаться к врачу по-прежнему можно и другими способами.

Напомним, мессенджер MAX с 18 марта 2026 года получил статус социальной сети. Это важно прежде всего для владельцев крупных каналов: теперь страницы и каналы с аудиторией более 10 тысяч пользователей смогут работать в рамках уже действующих правил Роскомнадзора для соцсетей и получать в MAX маркировку A+ после регистрации через госреестр.

DDoS 2026: атаки меняются — готова ли ваша защита?
Регистрируйтесь на эфир!