Антивирусная компания Sana Security сообщила об
обнаружении нового трояна, получившего название rootkit.hearse (файл в
формате PDF) и распространяющегося вместе с червём Win32.Alcra и
руткитом, скрывающим вредоносную деятельность от антивирусного ПО.
Попав на компьютер, троян собирает пароли к сетевым ресурсам, которые
посещает пользователь, и отсылает на сервер, который, по словам
специалистов Sana Security, функционирует в России с 16 марта этого
года. Червь состоит из двух компонентов (драйвера zopenssld.sys и
библиотеки zopenssl.dll) располагающихся в директории System32. Большую
часть времени троян бездействует, "просыпаясь" для связи с сервером
лишь во время ввода пользователем пароля для доступа к какому-либо
сетевому ресурсу. Троян способен не только перехватывать пароли в
момент их ввода с клавиатуры, но и копировать их при использовании в
браузере функции автозаполнения. По состоянию на начало текущей недели,
лишь 5 из 24 протестированных экспертами Sana Security антивирусных
пакетов сумели определить присутствие в системе подозрительной
активности. К началу недели на упомянутом сервере хранилось уже около
35000 уникальных пользовательских записей, которые можно использовать
для доступа к более чем 7000 веб-сайтов, среди которых есть и
онлайновые банковские ресурсы. Эксперты Sana Security поставили в
известность неназванного российского провайдера, занимающегося
хостингом сервера, однако, насколько известно, он по-прежнему
функционирует.
|
