Компания «Доктор Веб» сообщила о распространении
узкоспециализированной троянской программы BackDoor.Dande,
предназначенной для кражи информации у представителей российских
фармацевтических компаний.
BackDoor.Dande — довольно сложный
многокомпонентный троянец, шифрующий свои модули ключом, привязанным к
конкретной инфицированной машине, и самостоятельно загружающий их в
память. Благодаря этому детектировать данные вредоносные модули можно
только в оперативной памяти зараженного компьютера, а расшифровать их
отдельно от инфицированного ПК крайне сложно в силу уникальности ключа.
Кроме того, загрузчик модулей встраивается в первую секцию одной из
системных библиотек Windows, в результате чего ее становится невозможно
отличить от незараженной библиотеки по формальным признакам, характерным
для вирусных инфекторов.
Для установки в систему BackDoor.Dande
использует стандартную библиотеку \system32\msi.dll. Дроппер троянца
встраивает вредоносный код в системную службу MSIServer, с помощью
которой осуществляется дальнейшее заражение рабочей станции. Так,
загружаясь в оперативную память, модуль инфектора проверяет версию
операционной системы, в которой запущен троянец: если это Microsoft
Windows XP, происходит заражение библиотеки advapi32.dll, в ОС более
старших версий заражается библиотека kernelbase.dll — в эти библиотеки
встраивается модуль бэкдора, выполняющего поступающие от удаленных
серверов команды и осуществляющего загрузку дополнительных компонентов
троянца.
После успешной установки и запуска бэкдора он
подключается к удаленным управляющим серверам и передает информацию об
инфицированном компьютере, после чего по команде загружает и запускает
программу-шпион Trojan.PWS.Dande. Основное предназначение этой программы
— кража данных клиентских приложений семейства «Системы электронного
заказа», позволяющих различным фармацевтическим предприятиям и аптекам
заказывать у поставщиков медицинские препараты. К таким приложениям
относятся специализированная конфигурация «Аналит: Фармация 7.7» для
платформы 1С, «Система электронного заказа» СЭЗ-2 производства компании
«Аптека-Холдинг», программа формирования заявок компании «Российская
Фармация», система электронного заказа фармацевтической группы «Роста»,
программа «Катрен WinPrice» и некоторые другие. Среди собираемых данных —
сведения об установленном на компьютере программном обеспечении, пароли
учетных записей и т. д. Вся похищенная информация передается на сервер
злоумышленников в зашифрованном виде. Если интересующей вирусописателей
информации на зараженной машине не обнаруживается, троянец с помощью
встроенных модулей аккуратно излечивает ранее зараженные им же системные
библиотеки и самоудаляется.
Исходя из того, что троянец
продолжает работу только на компьютерах, где установлена одна из систем
электронного заказа медикаментов, можно предположить, что в бот-сети
BackDoor.Dande состоят преимущественно рабочие станции, принадлежащие
аптекам и фармацевтическим компаниям. На начало июля 2012 года таковых
насчитывается 2857, причем 2788 (98,5%) из них расположено на территории
России, остальные располагаются в других государствах.
В
настоящее время рост ботнета продолжается, однако в силу специфики
самого бэкдора число регистраций новых инфицированных компьютеров в сети
сейчас не превышает 1–2 в сутки.
Источник:
узкоспециализированной троянской программы BackDoor.Dande,
предназначенной для кражи информации у представителей российских
фармацевтических компаний.
BackDoor.Dande — довольно сложный
многокомпонентный троянец, шифрующий свои модули ключом, привязанным к
конкретной инфицированной машине, и самостоятельно загружающий их в
память. Благодаря этому детектировать данные вредоносные модули можно
только в оперативной памяти зараженного компьютера, а расшифровать их
отдельно от инфицированного ПК крайне сложно в силу уникальности ключа.
Кроме того, загрузчик модулей встраивается в первую секцию одной из
системных библиотек Windows, в результате чего ее становится невозможно
отличить от незараженной библиотеки по формальным признакам, характерным
для вирусных инфекторов.
Для установки в систему BackDoor.Dande
использует стандартную библиотеку \system32\msi.dll. Дроппер троянца
встраивает вредоносный код в системную службу MSIServer, с помощью
которой осуществляется дальнейшее заражение рабочей станции. Так,
загружаясь в оперативную память, модуль инфектора проверяет версию
операционной системы, в которой запущен троянец: если это Microsoft
Windows XP, происходит заражение библиотеки advapi32.dll, в ОС более
старших версий заражается библиотека kernelbase.dll — в эти библиотеки
встраивается модуль бэкдора, выполняющего поступающие от удаленных
серверов команды и осуществляющего загрузку дополнительных компонентов
троянца.
После успешной установки и запуска бэкдора он
подключается к удаленным управляющим серверам и передает информацию об
инфицированном компьютере, после чего по команде загружает и запускает
программу-шпион Trojan.PWS.Dande. Основное предназначение этой программы
— кража данных клиентских приложений семейства «Системы электронного
заказа», позволяющих различным фармацевтическим предприятиям и аптекам
заказывать у поставщиков медицинские препараты. К таким приложениям
относятся специализированная конфигурация «Аналит: Фармация 7.7» для
платформы 1С, «Система электронного заказа» СЭЗ-2 производства компании
«Аптека-Холдинг», программа формирования заявок компании «Российская
Фармация», система электронного заказа фармацевтической группы «Роста»,
программа «Катрен WinPrice» и некоторые другие. Среди собираемых данных —
сведения об установленном на компьютере программном обеспечении, пароли
учетных записей и т. д. Вся похищенная информация передается на сервер
злоумышленников в зашифрованном виде. Если интересующей вирусописателей
информации на зараженной машине не обнаруживается, троянец с помощью
встроенных модулей аккуратно излечивает ранее зараженные им же системные
библиотеки и самоудаляется.
Исходя из того, что троянец
продолжает работу только на компьютерах, где установлена одна из систем
электронного заказа медикаментов, можно предположить, что в бот-сети
BackDoor.Dande состоят преимущественно рабочие станции, принадлежащие
аптекам и фармацевтическим компаниям. На начало июля 2012 года таковых
насчитывается 2857, причем 2788 (98,5%) из них расположено на территории
России, остальные располагаются в других государствах.
В
настоящее время рост ботнета продолжается, однако в силу специфики
самого бэкдора число регистраций новых инфицированных компьютеров в сети
сейчас не превышает 1–2 в сутки.
Источник:
» Шифровальщик CryptXXX 3.0 обезвредили!
» Вымогатель Kangaroo блокирует пользователям доступ к Windows
» Microsoft заявляет, что новую 0-day уязвимость в Windows используют хакеры из Fancy Bear
» 360 Total Security 8.8.0.1083 [Multi/Ru]
» SecureAPlus Freemium 4.3.3 [Multi/Ru]
» GridinSoft Anti-Malware [Multi/Ru] - антивирусная утилита!
» Новый вариант трояна Kovter маскируется под обновления для Firefox
» Эксперт представил способ похищения данных через кулер компьютера