Антивирусная компания “Доктор Веб” сообщила об обнаружении многокомпонентного троянца Trojan.PWS.Papras.4, обладающего чрезвычайно обширным вредоносным функционалом. Например, он способен красть пароли от множества популярных прикладных программ, передавать злоумышленникам содержимое заполняемых жертвой форм и открывать им возможность удаленного управления инфицированным компьютером.
Trojan.PWS.Papras.4 представляет собой приложение, которое можно отнести к категории RAT (Remote Administration Tool, т. е. средство удаленного администрирования). Оно позволяет злоумышленникам получить доступ к инфицированному компьютеру без ведома пользователя. Троянец состоит из нескольких компонентов, одним из которых является дроппер, после своего запуска распаковывающий в одну из системных папок другой модуль – инжектор, и в зависимости от привилегий текущей учетной записи пользователя Windows модифицирующий соответствующую ветвь системного реестра для добавления его в автозагрузку.
После успешного запуска инжектор извлекает и распаковывает основные модули троянской программы, а затем встраивает их во все запущенные процессы за исключением нескольких системных. При этом Trojan.PWS.Papras.4 имеет возможность инфицировать как 32-, так и 64-разрядные процессы.
Троянец обеспечивает работу на инфицированном компьютере нескольких функциональных модулей: один из них реализует функции VNC-севера, другой – сервера Socks Proxy. Еще один модуль позволяет встраивать в просматриваемые пользователем веб-страницы постороннее содержимое (веб-инжекты). Дополнительный модуль (Grabber) предназначен для передачи злоумышленникам содержимого заполняемых пользователем форм в браузерах Microsoft Internet Explorer, Mozilla Firefox и Google Chrome, а модуль Stealer – похищать пароли от нескольких десятков популярных приложений, среди которых – почтовые клиенты, FTP-клиенты и ряд других программ. Наконец, модуль backconnect позволяет управлять инфицированной машиной, даже если она скрыта за шлюзом или брандмауэром. Trojan.PWS.Papras.4 “умеет” выполнять следующие команды, получаемые с удаленного сервера:
загрузить, сохранить, запустить указанное приложение;
установить обновление вредоносной программы;
передать на удаленный сервер файлы cookies браузеров Microsoft Internet Explorer, Mozilla Firefox и Google Chrome;
экспортировать установленные на инфицированном ПК цифровые сертификаты и отправить их на удаленный сервер;
передать на удаленный сервер список запущенных процессов;
удалить на инфицированном ПК файлы cookies;
включить запись в файл журнала;
включить прокси-сервер;
включить VNC-сервер;
установить обновление вредоносной программы с цифровой подписью;
запускать программы;
записать значение в реестр или получить значение из реестра;
выполнить поиск файлов на инфицированном компьютере.
Данная вредоносная программа представляет серьезную опасность в силу наличия обширного функционала для хищения конфиденциальной информации, которая может быть использована злоумышленниками, в частности, для несанкционированного доступа на зараженный компьютер, взлома интернет-ресурсов и учетных записей жертвы на различных сайтах. (Dr.Web/NovostIT)