• Trojan.PWS.Papras.4 угрожает пользователям Windows

    Значительную часть вредоносных программ, поступающих на анализ в вирусную лабораторию компании «Доктор Веб», составляют достаточно примитивные по своим функциональным возможностям троянцы. Сложные многокомпонентные угрозы попадаются специалистам гораздо реже — именно к этой категории можно отнести обнаруженного недавно троянца Trojan.PWS.Papras.4, обладающего чрезвычайно обширным вредоносным функционалом.
    Например, он способен красть пароли от множества популярных прикладных программ, передавать злоумышленникам содержимое заполняемых жертвой форм и открывать им возможность удаленного управления инфицированным компьютером.
    Trojan.PWS.Papras.4 представляет собой приложение, которое можно отнести к категории RAT (Remote Administration Tool, т. е. средство удаленного администрирования). Оно позволяет злоумышленникам получить доступ к инфицированному компьютеру без ведома пользователя. Троянец состоит из нескольких компонентов, одним из которых является дроппер, после своего запуска распаковывающий в одну из системных папок другой модуль — инжектор, и в зависимости от привилегий текущей учетной записи пользователя Windows модифицирующий соответствующую ветвь системного реестра для добавления его в автозагрузку, сообщает drweb.com.
    После успешного запуска инжектор извлекает и распаковывает основные модули троянской программы, а затем встраивает их во все запущенные процессы за исключением нескольких системных. При этомTrojan.PWS.Papras.4 имеет возможность инфицировать как 32–, так и 64-разрядные процессы.
    Троянец обеспечивает работу на инфицированном компьютере нескольких функциональных модулей: один из них реализует функции VNC-севера, другой — сервера Socks Proxy. Еще один модуль позволяет встраивать в просматриваемые пользователем веб-страницы постороннее содержимое (веб-инжекты). Дополнительный модуль (Grabber) предназначен для передачи злоумышленникам содержимого заполняемых пользователем форм в браузерах Microsoft Internet Explorer, Mozilla Firefox и Google Chrome, а модуль Stealer — похищать пароли от нескольких десятков популярных приложений, среди которых — почтовые клиенты, FTP-клиенты и ряд других программ. Наконец, модуль backconnect позволяет управлять инфицированной машиной, даже если она скрыта за шлюзом или брандмауэром. Trojan.PWS.Papras.4 «умеет» выполнять следующие команды, получаемые с удаленного сервера:
    • загрузить, сохранить, запустить указанное приложение;
    • установить обновление вредоносной программы;
    • передать на удаленный сервер файлы cookies браузеров Microsoft Internet Explorer, Mozilla Firefox и Google Chrome;
    • экспортировать установленные на инфицированном ПК цифровые сертификаты и отправить их на удаленный сервер;
    • передать на удаленный сервер список запущенных процессов;
    • удалить на инфицированном ПК файлы cookies;
    • включить запись в файл журнала;
    • включить прокси-сервер;
    • включить VNC-сервер;
    • установить обновление вредоносной программы с цифровой подписью;
    • запускать программы;
    • записать значение в реестр или получить значение из реестра;
    • выполнить поиск файлов на инфицированном компьютере.


    Данная вредоносная программа представляет серьезную опасность в силу наличия обширного функционала для хищения конфиденциальной информации, которая может быть использована злоумышленниками, в частности, для несанкционированного доступа на зараженный компьютер, взлома интернет-ресурсов и учетных записей жертвы на различных сайтах.
    anti-malware.ru
    Эта статья изначально была опубликована в теме форума: Trojan.PWS.Papras.4 угрожает пользователям Windows автор темы CyberWriter Посмотреть оригинальное сообщение
Page generated in 0.00004 seconds with 34 queries