Опасный вирус выдает себя за MSN Messenger с целью кражи конфиденциальных данных пользователя
Троянец Spymaster.A способен красть любую информацию и отправлять ее злоумышленникам. Для того, чтобы помешать обнаружению, он выдает себя за MSN Messenger
Екатеринбург, 11 января 2006
Лаборатория PandaLabs сообщает о появлении трояна Spymaster.A, разработанного специально для кражи информации с компьютеров. Он комбинирует в себе свойства шпионских программ и клавиатурных шпионов, что позволяет ему захватывать любую информацию – от перемещений пользователя в Интернете до паролей, вводимых в онлайновых банках. Кроме того, благодаря своей системе маскировки, он способен выдавать себя за приложение MSN Messenger, поэтому пользователи не будут осознавать его присутствия в системе.
Как и большинство троянов, Spymaster.A не способен распространяться самостоятельно, поэтому ему требуется участие злоумышленника. Он может приходить на компьютер в виде вложений в электронных письмах или скачиваться с веб-страниц через Р2Р приложения, системы обмена мгновенными сообщениями или с зараженных компакт-дисков и дискет.
Попав на компьютер, Spymaster.A создает свою копию в виде файла syscont.exe. Ассоциированный с этим файлом процесс называется Win servico. Однако он использует систему маскировки, при которой, если пользователь просматривает активные процессы в диспетчере задач, отображаться будут только процессы, якобы принадлежащие MSN Messenger. Процесс в действительности скрывает действия Spymaster.A. Вирус также создает несколько записей в реестре Windows для того, чтобы обеспечить свой запуск при каждом запуске компьютера.
Троян также создает текстовый файл syslogy.cc. Этот файл хранит данные об используемых на компьютере программах, посещенных веб-страницах и всю информацию, введенную с клавиатуры. Этот файл будет отправлен по протоколу FTP на адрес, где злоумышленник может забрать его.
Луис Корронс, директор лаборатории PandaLabs комментирует: "Кейлоггер-трояны обычно используются кибер-преступниками для кражи конфиденциальной информации с целью осуществления мошенничеств. Учитывая то, что финансовое обогащение является сегодня основной мотивацией создателей вредоносных кодов, можно быть уверенными в том, что вскоре появятся новые версии таких кодов и они будут все более изощренными и сложными в обнаружении. Способ, которым Spymaster.A скрывает процессы в памяти, является хорошим примером этого.”
Чтобы помочь как можно большему количеству пользователей проверить и вылечить свои системы, Panda Software предлагает воспользоваться бесплатным антивирусом Panda ActiveScan, по адресу http://www.viruslab.ru/.
Веб-мастеры, желающие разместить ActiveScan на своих сайтах могут бесплатно получить HTML-код по адресу http://www.pandasoftware.com/partners/webmasters.
Клиенты Panda Software, которые еще не обладают технологией TruPreventTM, могут скачать обновление для своих антивирусов, позволяющее установить ее и обеспечить наличие у них превентивной защиты от неизвестных вирусов и вторжений. Для пользователей других антивирусов, идеальным решением является продукт Panda TruPreventTM Personal, являющийся совместимым с продуктами других производителей и дополняющий их, также предоставляя второй слой защиты, которая начинает действовать, пока новый вирус еще изучается и для него подготавливается вакцина.
О PandaLabs
С 1990 года ее миссией был как можно более быстрый анализ новых угроз для защиты наших клиентов. Несколько команд, каждая из которых специализируется на конкретном типе вредоносного ПО (вирусы, черви, трояны, шпионы, фишинг, спам и т.д.), работают круглосуточно, предоставляя непрерывную поддержку. В достижении этого им на помощь приходит технология TruPrevent™, действующая как глобальная система раннего оповещения, состоящая из стратегически распределенных сенсоров, нейтрализующих новые угрозы и отправляющих их в PandaLabs на анализ. По данным Av.Test.org, PandaLabs в настоящий момент является быстрейшей лабораторией по предоставлению обновлений пользователям во всей отрасли (более подробная информация на www.viruslab.ru).
Лаборатория PandaLabs сообщает о появлении трояна Spymaster.A, разработанного специально для кражи информации с компьютеров. Он комбинирует в себе свойства шпионских программ и клавиатурных шпионов, что позволяет ему захватывать любую информацию – от перемещений пользователя в Интернете до паролей, вводимых в онлайновых банках. Кроме того, благодаря своей системе маскировки, он способен выдавать себя за приложение MSN Messenger, поэтому пользователи не будут осознавать его присутствия в системе.
Как и большинство троянов, Spymaster.A не способен распространяться самостоятельно, поэтому ему требуется участие злоумышленника. Он может приходить на компьютер в виде вложений в электронных письмах или скачиваться с веб-страниц через Р2Р приложения, системы обмена мгновенными сообщениями или с зараженных компакт-дисков и дискет.
Попав на компьютер, Spymaster.A создает свою копию в виде файла syscont.exe. Ассоциированный с этим файлом процесс называется Win servico. Однако он использует систему маскировки, при которой, если пользователь просматривает активные процессы в диспетчере задач, отображаться будут только процессы, якобы принадлежащие MSN Messenger. Процесс в действительности скрывает действия Spymaster.A. Вирус также создает несколько записей в реестре Windows для того, чтобы обеспечить свой запуск при каждом запуске компьютера.
Троян также создает текстовый файл syslogy.cc. Этот файл хранит данные об используемых на компьютере программах, посещенных веб-страницах и всю информацию, введенную с клавиатуры. Этот файл будет отправлен по протоколу FTP на адрес, где злоумышленник может забрать его.
Луис Корронс, директор лаборатории PandaLabs комментирует: "Кейлоггер-трояны обычно используются кибер-преступниками для кражи конфиденциальной информации с целью осуществления мошенничеств. Учитывая то, что финансовое обогащение является сегодня основной мотивацией создателей вредоносных кодов, можно быть уверенными в том, что вскоре появятся новые версии таких кодов и они будут все более изощренными и сложными в обнаружении. Способ, которым Spymaster.A скрывает процессы в памяти, является хорошим примером этого.”
Чтобы помочь как можно большему количеству пользователей проверить и вылечить свои системы, Panda Software предлагает воспользоваться бесплатным антивирусом Panda ActiveScan, по адресу http://www.viruslab.ru/.
Веб-мастеры, желающие разместить ActiveScan на своих сайтах могут бесплатно получить HTML-код по адресу http://www.pandasoftware.com/partners/webmasters.
Клиенты Panda Software, которые еще не обладают технологией TruPreventTM, могут скачать обновление для своих антивирусов, позволяющее установить ее и обеспечить наличие у них превентивной защиты от неизвестных вирусов и вторжений. Для пользователей других антивирусов, идеальным решением является продукт Panda TruPreventTM Personal, являющийся совместимым с продуктами других производителей и дополняющий их, также предоставляя второй слой защиты, которая начинает действовать, пока новый вирус еще изучается и для него подготавливается вакцина.
О PandaLabs
С 1990 года ее миссией был как можно более быстрый анализ новых угроз для защиты наших клиентов. Несколько команд, каждая из которых специализируется на конкретном типе вредоносного ПО (вирусы, черви, трояны, шпионы, фишинг, спам и т.д.), работают круглосуточно, предоставляя непрерывную поддержку. В достижении этого им на помощь приходит технология TruPrevent™, действующая как глобальная система раннего оповещения, состоящая из стратегически распределенных сенсоров, нейтрализующих новые угрозы и отправляющих их в PandaLabs на анализ. По данным Av.Test.org, PandaLabs в настоящий момент является быстрейшей лабораторией по предоставлению обновлений пользователям во всей отрасли (более подробная информация на www.viruslab.ru).